VueDOMPurifyHTML 防止 XSS(跨站脚本攻击) 风险

VueDOMPurifyHTML 是一个 ​​Vue.js 插件​ ​,用于在 v-html 指令中安全地渲染 HTML 内容,防止 ​​XSS(跨站脚本攻击)​​ 风险。

​作用​

  • ​解决 v-html 的安全问题​
    Vue 的 v-html 会直接渲染原始 HTML,如果内容来自用户输入或外部 API,可能包含恶意脚本(如 <script>alert('XSS')</script>)。
    VueDOMPurifyHTML 使用 ​DOMPurify​(一个安全的 HTML 清理库)对内容进行过滤,只保留安全的 HTML 标签和属性。

基本用法​

1.安装

npm install vue-dompurify-html dompurify

2.​​在 Vue 项目中注册

import Vue from 'vue'

import VueDOMPurifyHTML from 'vue-dompurify-html'

Vue.use(VueDOMPurifyHTML)

3.在模板中使用

<div v-dompurify-html="userProvidedHtml"></div>

(替代原本不安全的 v-html

示例​:

<template>
<div v-dompurify-html="rawHtml"></div>
</template>

<script>
export default {
data() {
return {
rawHtml: '<span style="color: red;">安全内容</span><script>alert("恶意代码会被删除")</script>'
}
}
}
</script>

输出结果​​:

  • 渲染 <span style="color: red;">安全内容</span>
  • 自动移除 <script> 标签及其内容,避免 XSS 攻击。

​适用场景​

  • 渲染富文本内容(如 CMS 文章、评论等)
  • 需要保留基本 HTML 样式(如加粗、链接),但过滤危险代码

对比原生 v-html

方式 安全性 是否过滤恶意代码
v-html ❌ 不安全 直接渲染原始 HTML
v-dompurify-html ✅ 安全 自动清理危险标签

推荐在需要动态渲染 HTML 时优先使用此插件,而不是直接使用 v-html

相关推荐
li35742 小时前
将已有 Vue 项目通过 Electron 打包为桌面客户端的完整步骤
前端·vue.js·electron
Icoolkj3 小时前
VuePress 与 VitePress 深度对比:特性、差异与选型指南
前端·javascript·vue.js
excel3 小时前
CNN 分层详解:卷积、池化到全连接的作用与原理
前端
excel3 小时前
CNN 多层设计详解:从边缘到高级特征的逐层学习
前端
西陵4 小时前
Nx带来极致的前端开发体验——任务编排
前端·javascript·架构
大前端helloworld4 小时前
从初中级如何迈入中高级-其实技术只是“入门卷”
前端·面试
东风西巷6 小时前
Balabolka:免费高效的文字转语音软件
前端·人工智能·学习·语音识别·软件需求
萌萌哒草头将军6 小时前
10个 ES2025 新特性速览!🚀🚀🚀
前端·javascript·vue.js
半夏陌离6 小时前
SQL 入门指南:排序与分页查询(ORDER BY 多字段排序、LIMIT 分页实战)
java·前端·数据库