xss官网:https://jsxss.com/zh/index.html

以nodejs做测试

1.在终端引入xss,命令:

npm install xss --save

 2.在vue的页面进行引入

import xss from 'xss'

3.定义一个变量进行测试

首先测试一个没有进行防止xss攻击的测试

<p v-html="test"></p>

export default {
  data () {
    return {
      test: `<a onclick='alert("xss攻击")'>链接</a>`
    }
}

结果,js事件直接被翻译了

因此应该杜绝这些情况,解决方法如下

4

<p v-html="$xss(test)"></p>

import xss from 'xss'
export default {
  data () {
    return {
      test: `<a onclick='alert("xss攻击")'>链接</a>`
    }
}

Object.defineProperty(Vue.prototype, '$xss', {
  value: xss
})

此时a标签会保留,但是onclick事件被拦截了

Logo
Vue

前往低代码交流专区

更多推荐

vue 表单验证

1、6位小写字母和数字必须包含两个字母rules: [{ required: true, message: "XXX不能为空", trigger: "blur" },{ max: 6, message: "最大长度为6位字符", trigger: "blur" },{pattern: /^(?=(?:[^a-z]*[a-z]){2})[a-z0-9]{6,6}$/, //不连续的两位字母// /^

avatar Vue
cover

echarts堆叠柱状图

avatar Vue

Error in v-on handler: "TypeError: Cannot read properties of undefined (reading 'current')"

这是一个 Vue.js 错误,报错信息提示在 v-on 处理程序中出现了错误:“TypeError: Cannot read properties of undefined(读取 'current')”。这意味示在您的代码中,试图读取一个未定义的变量 'current'。您需要检查您的代码,确保 'current' 已正确定义并初始化。...

avatar Vue