VueDOMPurifyHTML 防止 XSS(跨站脚本攻击) 风险

VueDOMPurifyHTML 是一个 ​​Vue.js 插件​ ​,用于在 v-html 指令中安全地渲染 HTML 内容,防止 ​​XSS(跨站脚本攻击)​​ 风险。

​作用​

  • ​解决 v-html 的安全问题​
    Vue 的 v-html 会直接渲染原始 HTML,如果内容来自用户输入或外部 API,可能包含恶意脚本(如 <script>alert('XSS')</script>)。
    VueDOMPurifyHTML 使用 ​DOMPurify​(一个安全的 HTML 清理库)对内容进行过滤,只保留安全的 HTML 标签和属性。

基本用法​

1.安装

npm install vue-dompurify-html dompurify

2.​​在 Vue 项目中注册

import Vue from 'vue'

import VueDOMPurifyHTML from 'vue-dompurify-html'

Vue.use(VueDOMPurifyHTML)

3.在模板中使用

<div v-dompurify-html="userProvidedHtml"></div>

(替代原本不安全的 v-html

示例​:

<template>
<div v-dompurify-html="rawHtml"></div>
</template>

<script>
export default {
data() {
return {
rawHtml: '<span style="color: red;">安全内容</span><script>alert("恶意代码会被删除")</script>'
}
}
}
</script>

输出结果​​:

  • 渲染 <span style="color: red;">安全内容</span>
  • 自动移除 <script> 标签及其内容,避免 XSS 攻击。

​适用场景​

  • 渲染富文本内容(如 CMS 文章、评论等)
  • 需要保留基本 HTML 样式(如加粗、链接),但过滤危险代码

对比原生 v-html

方式 安全性 是否过滤恶意代码
v-html ❌ 不安全 直接渲染原始 HTML
v-dompurify-html ✅ 安全 自动清理危险标签

推荐在需要动态渲染 HTML 时优先使用此插件,而不是直接使用 v-html

相关推荐
JosieBook39 分钟前
【web应用】如何进行前后端调试Debug? + 前端JavaScript调试Debug?
前端·chrome·debug
LBJ辉40 分钟前
2. Webpack 高级配置
前端·javascript·webpack
灵感__idea7 小时前
JavaScript高级程序设计(第5版):好的编程就是掌控感
前端·javascript·程序员
烛阴8 小时前
Mix
前端·webgl
代码续发8 小时前
前端组件梳理
前端
试图让你心动9 小时前
原生input添加删除图标类似vue里面移入显示删除[jquery]
前端·vue.js·jquery
陈不知代码10 小时前
uniapp创建vue3+ts+pinia+sass项目
前端·uni-app·sass
小王码农记10 小时前
sass中@mixin与 @include
前端·sass
陈琦鹏10 小时前
轻松管理 WebSocket 连接!easy-websocket-client
前端·vue.js·websocket
hui函数10 小时前
掌握JavaScript函数封装与作用域
前端·javascript