VueDOMPurifyHTML 防止 XSS(跨站脚本攻击) 风险

VueDOMPurifyHTML 是一个 ​​Vue.js 插件​ ​,用于在 v-html 指令中安全地渲染 HTML 内容,防止 ​​XSS(跨站脚本攻击)​​ 风险。

​作用​

  • ​解决 v-html 的安全问题​
    Vue 的 v-html 会直接渲染原始 HTML,如果内容来自用户输入或外部 API,可能包含恶意脚本(如 <script>alert('XSS')</script>)。
    VueDOMPurifyHTML 使用 ​DOMPurify​(一个安全的 HTML 清理库)对内容进行过滤,只保留安全的 HTML 标签和属性。

基本用法​

1.安装

npm install vue-dompurify-html dompurify

2.​​在 Vue 项目中注册

import Vue from 'vue'

import VueDOMPurifyHTML from 'vue-dompurify-html'

Vue.use(VueDOMPurifyHTML)

3.在模板中使用

<div v-dompurify-html="userProvidedHtml"></div>

(替代原本不安全的 v-html

示例​:

<template>
<div v-dompurify-html="rawHtml"></div>
</template>

<script>
export default {
data() {
return {
rawHtml: '<span style="color: red;">安全内容</span><script>alert("恶意代码会被删除")</script>'
}
}
}
</script>

输出结果​​:

  • 渲染 <span style="color: red;">安全内容</span>
  • 自动移除 <script> 标签及其内容,避免 XSS 攻击。

​适用场景​

  • 渲染富文本内容(如 CMS 文章、评论等)
  • 需要保留基本 HTML 样式(如加粗、链接),但过滤危险代码

对比原生 v-html

方式 安全性 是否过滤恶意代码
v-html ❌ 不安全 直接渲染原始 HTML
v-dompurify-html ✅ 安全 自动清理危险标签

推荐在需要动态渲染 HTML 时优先使用此插件,而不是直接使用 v-html

相关推荐
小小小小宇4 小时前
虚拟列表兼容老DOM操作
前端
悦悦子a啊4 小时前
Python之--基本知识
开发语言·前端·python
安全系统学习5 小时前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
涛哥码咖5 小时前
chrome安装AXURE插件后无效
前端·chrome·axure
OEC小胖胖5 小时前
告别 undefined is not a function:TypeScript 前端开发优势与实践指南
前端·javascript·typescript·web
行云&流水6 小时前
Vue3 Lifecycle Hooks
前端·javascript·vue.js
Sally璐璐6 小时前
零基础学HTML和CSS:网页设计入门
前端·css
老虎06276 小时前
JavaWeb(苍穹外卖)--学习笔记04(前端:HTML,CSS,JavaScript)
前端·javascript·css·笔记·学习·html
灿灿121386 小时前
CSS 文字浮雕效果:巧用 text-shadow 实现 3D 立体文字
前端·css
烛阴6 小时前
Babel 完全上手指南:从零开始解锁现代 JavaScript 开发的超能力!
前端·javascript