vue 用vue-ueditor-wrap 富文本编辑器发送请求,华为云xss报418恶意攻击解决办法

最新推荐文章于 2023-07-07 10:06:20 发布
最新推荐文章于 2023-07-07 10:06:20 发布
阅读量1k 收藏 1
点赞数
分类专栏: 服务器拦截
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xm_w_xm/article/details/106251095
版权

一、XSS攻击原因

首先了解一下为什么会xss攻击,因为我们用的富文本编辑器是vue-ueditor-wrap,所以他编写好的是一个html,所以他就会报xss攻击,富文本编辑器是这样的

 可以看到我们编辑后的值是这样的我们传了他的html,因为他是含有他的id和class,

http://jsxss.com/zh/index.html  这个是xss文档

二、XSS安装与使用

我用的是vue 

$ npm install xss

var xss = require('xss');
var html = xss('<script>alert("xss");</script>');
console.log(html);

所以代码中我是这样写的

 var _this = this;
      // 原始
      var xss = require("xss");
      _this.useMethods[0].demoInfo1 = xss(_this.useMethods[0].demoInfo1);

 这个就是用xss前后对比

 这个不太好看区别在哪里,下面是面的一个格式化

 看到这个我们就会发现不是说不能传带有html的,而是说传的值中不能含有id,class,还有些style的,以防万一我就在转码一下(ps这个地方我发现不转也行)因为已经是白皮了

这个是我觉得转码写的很好的连接

https://www.cnblogs.com/xdp-gacl/p/3722642.html

侧耳倾听...
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
如何在vue-cli3.0项目中使用ueditor上传图片并回显 含token(vue+vue-ueditor-wrap
weixin_41668951的博客
04-21 7207
如何在vue-cli3.0项目中使用ueditor上传图片并回显 含token(vue+vue-ueditor-wrap)欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新...
【个人笔记】解决vue使用ueditor上传图片没反应或不显示
wusq的博客
07-16 3686
1.定义全局变量,存放上传图片的接口地址 比如可以创建一个config目录,在目录下创建一个api.js,定义全局变量并抛出 export default { ueditorUploadUrl: (CONFIG.base || process.env.VUE_APP_BASE_API) + '/file/upload', // 富文本上传地址 } 2.修改单文件上传方法 打开ueditor.all.js,找到单文件上传方法。 1.先修改请求方法,大约在24572行,注释的是原来的代码 代码: var
富文本编辑器xss攻击
热门推荐
changhuzhao的专栏
05-18 1万+
富文本编辑器xss攻击在平时的开发中,有时需要引入富文本编辑器,由用户来输入信息并保存入数据库。而这也给项目留下了潜在的隐患,如果不在开发时就做好防范,则很容易受到相应的攻击。 对于常见的web安全问题,可以参考 web安全(入门篇)现在针对富文本编辑器如何防止xss攻击,给出几点建议,也供自己以后查找: 推荐使用UEditor 使用ESAPI
js 前端防xss攻击——百度UEditor解决方案
两只橙的博客
11-02 9678
xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。  大部分的xss漏洞都是由于没有处理好用户的输入,导致攻击脚本在浏览器中执行,这就是跨站脚本漏洞的根
关于Vue使用ueditor富文本编辑器上传图片
qq_37225650的博客
04-02 7793
1、使用的是vue-ueditor-wrap,前面操作网上都有,放到public下即可 2、ueditor上传图片会先请求服务器获取配置项,但是考虑我们的上传图片接口本身就有,后台那边也不想配合,只能自己改上传的代码 3、serverUrl就填服务器地址就行了,然后去修改UEditor ueditor.all.min.js的代码 // 服务器地址 serverUrl: "http://222.240.44.99:8891", token:getToken(), 4、我用的普通图片上传,找到相
前端项目请求天地图地址错跨域;418
killerdoubie的博客
07-07 2396
前端项目请求天地图地址错跨域;418
vue-ueditor-wrap UEditor资源包
03-14
Vue-UEditor-Wrap是基于Vue.js开发的一个用于集成百度UEditor的组件,它使得在Vue项目中使用UEditor变得更加方便。UEditor是一款强大的富文本编辑器,它提供了丰富的文本格式化、图片上传、表格、代码高亮等功能,...
vue集成百度UEditor富文本编辑器使用教程
10-17
主要为大家详细介绍了vue集成百度UEditor富文本编辑器的使用教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
vue-ueditor-wrap-demo:基于vue-cli的演示,用于vue-ueditor-wrap
05-01
Vue-Ueditor-Wrap-Demo 基于vue-cli的演示,用于 构建设置 # install dependencies npm install # serve with hot reload at localhost:8080 npm run dev # build for production with minification npm run build ...
使用vue-ueditor-wrap组件时导入的百度ueditor资源包
05-22
使用vue-ueditor-wrap组件时导入的百度ueditor资源包,如果要恢复百度ueditor图片组件的功能,就去UEditor/dialogs/image/image.html 里面取消屏蔽23,24,25行代码,如果需要查看组件使用放法,请去我主页查看:uve 使用...
Vue-Quill-Editor富文本编辑器的使用教程
12-29
本文为大家分享了Vue Quill Editor富文本编辑器的具体使用方法,供大家参考,具体内容如下 先看效果图:    1、下载Vue-Quill-Editor  npm install vue-quill-editor --save 2、下载quill(Vue-Quill-Editor...
Android遇到418错误,提示爬虫
jianpan_zouni的博客
04-27 6681
由于公司设置了华为的拦截策略,Android短的app突然爆出418错误,提示疑似爬虫攻击。最后请运维去掉了华为的拦截。 经过调研和事件,被确定为爬虫攻击,是因为user-agent的问题 1.代码使用okhttp,okhttp默认的user-agent是okhttp/版本号 2.如果写过爬虫的可能会有了解,有种反爬虫机制,就是有些商业数据是禁止爬取的,需要模拟浏览器的user- ag...
修复富文本编辑器引起的XSS安全问题
weixin_45394033的博客
10-24 3034
在平时使用的富文本编辑器中也会存在恶意输入JS脚本使用js-xss 对文本进行过滤,删除掉可能存在的脚本富文本形式输入脚本的形式是 存储型xss,提交的数据存在脚本,并且保存成功。其他人访问当前页面就会触发开启httponly(禁止JS获取Cookie)输入过滤,输出转义。
VUE3下通过vue-ueditor-wrap使用UEditor Plus遇到的问题及解决方案
joeyeluo的博客
10-14 2948
这里使用的arcopro框架,UEditor Plus放到了public。第一次选择弹出shotcutmenu后,如果再次重新加载组件会出现错误。
Web系统常见安全漏洞介绍及解决方案-XSS攻击
web15286201346的博客
07-31 1764
跨站脚本攻击(CrossSiteScript),为了和众所周知的样式表CSS进行区分,它在安全领域简称XSSxss攻击是由于Web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。在一开始,这种攻击的案例通常是跨域的,所以叫做跨站脚本攻击。之后得到的提示信息。在CSDN的搜索框随意输入了xss根据效果的不同可以分为以下几类反射型XSS。...
XSS系列二:基于vue搭建的网站如何防范XSS攻击
川端小树的博客
10-02 5571
1.对于从接口请求的数据,尽量使用{{}}加载,而不是v-html vue中的大括号会把数据解释为普通文本。通常如果要解释成html代码则要用v-html。而此指令相当于innerHTML。虽然像innerHTML一样不会直接输出script标签,但也可以输出img,iframe等标签。 vue文档关于v-html的说明如下所示: 2.对用v-html和innerHTML加载的客户信息进行转义 如果显示内容里面有html片段,一定需要用v-html或者innerHTML加载,例...
Web前端安全系列之:XSS攻防及Vue防御(万字长文)
绝对零度的博客
10-20 9525
Web 攻击技术的发展也可以分为几个阶段。在Web 1.0时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(俗称webshell)上传到服务器上,从而获得权限。后续有出现了SQL注入,SQL注入的出现是Web安全史上的一个里程碑,SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。再后续另一个里程碑的安全问题问世–XSS(跨站脚本攻击)。伴随着Web 2.0的兴起,XSS、CSRF等攻击已经变得更为强大。Web攻击的思路也从服务器端转向了客户端,转向了浏览器和用户。
Vue解决xss脚本攻击
youngerxsd的博客
05-09 1703
XSS(Cross Site Scripting)攻击是一种常见的Web攻击方式,它利用了Web应用程序中存在的安全漏洞,向Web页面中注入恶意的脚本代码,从而在用户访问页面时执行这些脚本,达到攻击者所期望的目的。XSS攻击通常分为两类:反射型和存储型。反射型XSS攻击,也称为非持久性XSS攻击,是攻击者通过发送恶意链接或篡改表单数据等方式,向服务器提交带有恶意脚本的请求,服务器将这些恶意脚本注入到Web页面的响应中,当用户访问该页面时,恶意脚本就会被执行,从而实现攻击
富文本编辑器 xss 攻击的解决
ISaiSai的专栏
03-10 1万+
普通xss 攻击,通过html 转意就可以很好地解决但是富文本编辑器,本身就是允许输入html 标签的,不能转义需要引入第三方防止xss的包来处理,对文章内html 进行处 参考文章:http://jsxss.com/zh/starter/quickstart.html
vue-ueditor-wrap 怎么富文本编辑器怎么禁止编辑
最新发布
08-11
为了禁止vue-ueditor-wrap富文本编辑器的编辑功能,你可以在使用组件的地方加上一个属性来禁用编辑。根据引用和引用中的代码,你可以在main.js和App.vue中添加以下代码: 在main.js中: ``` import VueUeditorWrap ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

侧耳倾听...

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值