XSS攻击
人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 [1]
xss示例我就不说了,我现在给大家演示直接避免的方法
操作步骤
安装包
npm i dompurify @types/dompurify -D
在页面中调用 dompurify
来对文章正文内容做净化:
import DOMPurify from 'dompurify'
// 使用 DOMPurify.sanitize对数据进行包裹
<div
className="content-html dg-html"
dangerouslySetInnerHTML={{ __html: DOMPurify.sanitize(后端标签数据 || '') }}
>
</div>