vue ---根据白名单过滤HTML(防止XSS攻击)

xxs攻击就是通过脚本更改js代码获取cookie内容以nodejs做测试1.在终端引入xss,命令：npm install xss --save2.在vue的页面进行引入import xss from 'xss'3.定义一个变量进行测试首先测试一个没有进行防止xss攻击的测试<p v-html="test"></p>export def...

李科龙

2985人浏览 · 2020-03-10 23:23:30

李科龙 · 2020-03-10 23:23:30 发布

xxs 攻击就是通过脚本更改js代码获取cookie内容
以nodejs做测试

1.在终端引入xss,命令：

npm install xss --save

2.在vue的页面进行引入

import xss from 'xss'

3.定义一个变量进行测试

首先测试一个没有进行防止xss攻击的测试

<p v-html="test"></p>
 
export default {
  data () {
    return {
      test: `<a onclick='alert("xss攻击")'>链接</a>`
    }
}

结果，js事件直接被翻译了
在这里插入图片描述
因此应该杜绝这些情况，解决方法如下

<p v-html="$xss(test)"></p>
 
import xss from 'xss'
export default {
  data () {
    return {
      test: `<a onclick='alert("xss攻击")'>链接</a>`
    }
}
 
Object.defineProperty(Vue.prototype, '$xss', {
  value: xss
})
此时a标签会保留，但是onclick事件被拦截了

Vue

前往低代码交流专区

更多推荐

vue 表单验证

1、6位小写字母和数字必须包含两个字母rules: [{ required: true, message: "XXX不能为空", trigger: "blur" },{ max: 6, message: "最大长度为6位字符", trigger: "blur" },{pattern: /^(?=(?:[^a-z]*[a-z]){2})[a-z0-9]{6,6}$/, //不连续的两位字母// /^