vue内容都会被自动转义,所以防止了脚本注入吗?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了vue内容都会被自动转义,所以防止了脚本注入吗?相关的知识,希望对你有一定的参考价值。

参考技术A

其实就是XSS攻击

Angular.js数据绑定时自动转义html标签及内容

angularJS在进行数据绑定时默认是以字符串的形式数据,也就是对你数据中的html标签不进行转义照单全收,这样提高了安全性,防止html标签的注入攻击,但有时候需要,特别是从数据库读取带格式的文本时,无法正常的显示在页面中。

而要对html进行转义,则需要在数据绑定的html标签中使用ng-bind-html属性,该属性依赖与$sanitize,也就是需要引入angular-sanitize.js文件,并在module定义时注入该服务ngSanitize。比如:

html:

<span ng-controller = "myCtr" ng-bind-html = "htmlStr"></span>

javascript:

function myCtr($scope){

  $scope.htmlStr = ‘<p style="color:white;background:#f60;"></p>‘;

};

这样可以实现html转义,但是有个问题是style这种标签会被angularJS认为是不安全的所以统统自动过滤掉,而为了保留这些就需要开启非安全模式。

如何让自动加载的数据转义html标签呢?实际上还有一种绑定方式:

html:

<div ng-repeat = "article in articles">

  <div class="panel-heading">

    <h4><b>{{article.title}}</b></h4>

  </div>

  <div class="panel-body">

    <article id="word-display" ng-bind-html="article.content | trustHtml">

    </article>

  </div>

</div>

javascript:

success(function(data){

  $scope.articles = data;

});

myApp.filter(‘trustHtml‘,function($sce){

  return function(input){

    return $sce.trustAsHtml(input);

  }

});

其中$sce是angularJS自带的安全处理模块,$sce.trustAsHtml(input)方法便是将数据内容以html的形式进行解析并返回。将此过滤器添加到ng-bind-html所绑定的数据中,便实现了在数据加载时对与html标签的自动转义。

 

以上是关于vue内容都会被自动转义,所以防止了脚本注入吗?的主要内容,如果未能解决你的问题,请参考以下文章

防止XSS注入的方法

php中防止SQL注入,该如何解决?

php防止sql注入漏洞都有哪些函数

php如何防止sql注入

php防止sql注入以及xss跨站脚本攻击

百度UEditor编辑器源代码编辑模式用CSS会被转义,有解决方法吗