为了账号安全,请及时绑定邮箱和手机立即绑定

避免使用 vue 的 v-html 指令

标签:
Vue.js

一、问题说明

在日常的后台系统中经常会有输入框的业务,最近有个业务是这样子的:编辑文章信息,生成可预览的文章信息卡片。我看到代码中有个信息是这样处理的:

<div v-html="title"></div>

并且title是用v-model绑定的,直接用v-html插入Dom中

巧的是测试人员很有专业素养,直接输入一段script,alert脚本,问题就出来了,直接弹出

二、问题思考

问题就出现在这个v-html的绑定,根据vue官网文档的说明:

你的站点上动态渲染的任意 HTML 可能会非常危险,因为它很容易导致 XSS 攻击。请只对可信内容使用 HTML 插值,绝不要对用户提供的内容使用插值。

既然知道问题的原因了,就该思考怎样去避免 XSS 攻击。

三、如何解决

按照官网的说明:
原始Html

双大括号会将数据解释为普通文本,而非 HTML 代码。为了输出真正的 HTML,你需要使用 v-html 指令。

应该直接实用双大括号就可以解决问题了。

<div>{{ title }}</div>

试一试,输入<script>alert('get')</script>
结果:直接显示<script>alert('get')</script>

但是这样虽然解决了问题,但是直接显示脚本代码,丑啊。再想想解决方法。

优雅的解决方案:
<pre>

根据w3c的说明

pre 元素可定义预格式化的文本。被包围在 pre 元素中的文本通常会保留空格和换行符。而文本也会呈现为等宽字体。

<pre> 标签的一个常见应用就是用来表示计算机的源代码。

四、延伸

通过了解还存在这样一个情况

Vue的v-html指令,为什么xss没有生效?

<template>
    <div v-html="msg">
        
    </div>
</template>

<script>    
    export default {
        data() {
            return {
                msg: 'msg'
            }
        },
        mounted() {
            this.msg = "插入了一个脚本:<script>console.log(1)<\/script>"; //解释了标签,但是没有打印
            var script = document.createElement('script');
            script.innerHTML = 'console.log(2)';
            this.$el.parentElement.appendChild(script); //打印了 2
        }
    }
</script>

不生效的原因是在MDN文档上找到的:

尽管这看上去像 cross-site scripting 攻击,结果并不会导致什么。HTML 5 中指定不执行由 innerHTML 插入的

附上链接:

点击查看更多内容
1人点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与 放弃机会
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消