Vue项目如何进行XSS防护

前言

在目前主推网络安全的情况下,很多开发项目都需要在上线前进行渗透测试,当符合渗透测试标准及没有安全漏洞即可正常上线,当前还会有代码审计的,这个另当别论。

如何对XSS进行防护

在很多的富文本编辑器项目中,xss漏洞已经是家常便饭了。接下来直接上修复代码。

当前使用环境为vue3+ts+vite项目,首先安装依赖

bash 复制代码
npm install xss

在main.ts中引入

typescript 复制代码
import xss from 'xss'

然后全局挂在自定义方法,这里提供两种挂在方法

第一种

typescript 复制代码
//挂在全局xss过滤器方法
app.config.globalProperties.$xss = (html: any) => {
  return xss(html)
}

在组件中的使用

typescript 复制代码
import { getCurrentInstance } from 'vue'

const instance = getCurrentInstance()
if (!instance) {
  // 处理无法获取到实例的情况
  throw new Error('Cannot get current instance')
}
// 通过实例的 appContext.config.globalProperties 访问 $xss
const $xss = instance.appContext.config.globalProperties.$xss
console.log($xss('<img src=q οnerrοr=alert(1)>'))

第二种

typescript 复制代码
const $xss = (html: any): any => {
  return xss(html)
}
// 使用 provide 提供 $xss 方法
app.provide('$xss', $xss)

组件中的使用

typescript 复制代码
import { inject } from 'vue'
// 使用 inject 注入 $xss 方法
const $xss: any = inject('$xss')
console.log($xss('<img src=q οnerrοr=alert(1)>'))

在v-html中没有过滤xss的效果

在v-html中使用xss过滤后的效果

最后

如果你的项目是vue2+webpack+js的话,推荐使用vue-xss库,方便快捷

安装命令

bash 复制代码
npm install vue-xss

在main.js中引入并且使用

javascript 复制代码
import VueXss from 'vue-xss'
Vue.use(VueXss)

在组件中的使用

typescript 复制代码
<div v-html="$xss(content)"></div>

如果你的是阴间项目,使用的是vue2+ts+webpack的项目,那你可以参考上面的vue3+ts+vite项目的使用方法,注意vue2和vue3全局挂在自定义方法是不一样的,这里需要自行修改。

*如果有更好的解决方案欢迎评论diss我

相关推荐
Hyyy13 分钟前
很多Desktop都在上的Computer Use是什么
前端·llm
慢功夫15 分钟前
开篇:VS Code 为什么不是一个普通 React App
前端·visual studio code
你挚爱的强哥26 分钟前
Vue2 实现 1.5s 十连击监听(连续点击若干次),封装通用可复用点击检测工具,不用 data!Vue 封装通用连击监听方法,支持自定义时长与点击次数
前端·javascript·vue.js
huashengzsj1 小时前
Shopify个人建站如何搭建独立站:从零开始的完整指南
前端·网络·人工智能
程序猿小泓1 小时前
从 Claude Code 学 Agent Harness:一个前端工程师的 AI Agent 学习笔记
前端·人工智能·学习
柒和远方2 小时前
从审计日志到可下载证据包:事务型 Outbox、租约 fencing 与保留水位
前端·后端·架构
卓怡学长2 小时前
w266基于spring boot + vue 圣地延安美食乐享系统
java·数据库·vue.js·spring boot·spring·intellij-idea
minglie12 小时前
npm ali-oss库依赖冲突
前端·npm
CryptoPP3 小时前
BSE股票K线数据接入实战:从接口调用到前端图表展示
大数据·前端·网络·人工智能·websocket·网络协议
Random_index4 小时前
#Vue3篇: Vue 项目发版后如何提示用户刷新?基于 package.json 版本号的前端更新检测方案
前端·vue.js·json