vue中使用v-html防止xss注入

于 2023-06-25 11:17:01 发布
阅读量2.3k 收藏 5
点赞数
CC 4.0 BY-SA版权
文章标签: vue.js xss 前端
原文链接:https://blog.csdn.net/lingxiaoxi_ling/article/details/105851736

解决html指令存在的xss漏洞问题
通常我们处理xss攻击会使用一个xss的npm包来过滤xss攻击代码。所以我们要做的就是给指令的value包上一层xss函数。这样我们就能覆盖html指令。

1.下载依赖

npm install xss --save

2.引入xss包并挂载到vue原型上 

import xss from 'xss';
Vue.prototype.xss = xss

3.在vue.config.js中覆写html指令

chainWebpack: config => {
    config.module
        .rule("vue")
        .use("vue-loader")
        .loader("vue-loader")
        .tap(options => {
            options.compilerOptions.directives = {
                html(node, directiveMeta) {
                    (node.props || (node.props = [])).push({
                        name: "innerHTML",
                        value: `xss(_s(${directiveMeta.value}))`
                    });
                }
            };
            return options;
        });
}

这样我们就从源头解决了html指令存在的潜在xss攻击。

aGreetSmile
关注
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值