VueJS - 清理输出以防止跨站点脚本攻击

Posted 2023-02-22

【中文标题】VueJS - 清理输出以防止跨站点脚本攻击

【英文标题】：VueJS - sanitizing output to prevent cross-site scripting attacks

【发布时间】：2020-04-21 20:24:27

【问题描述】：

我是 VueJS 的新手。我开始学习 v-html 指令。 我的问题是：如何清理输出以防止跨站点脚本攻击？

【问题讨论】：

"仅对受信任的内容使用 HTML 插值，从不对用户提供的内容使用。" — vuejs.org/v2/guide/syntax.html#Raw-HTML

【参考方案1】：

你可以使用https://www.npmjs.com/package/vue-sanitize来达到这种目的，但是考虑到攻击面可能会根据你的需要和你想用v-html做什么而有所不同，并且有很多攻击方式，比如添加脚本运行在 img 上出现错误，base64 编码脚本等等...... 所以要小心使用v-html。