Vue里用javascript:协议跳转会触发XSS警告怎么办?
我在做一个动态链接渲染的功能,用户可以输入URL,但有些老数据里带的是 javascript:alert(1) 这种。我直接绑定到 <a :href="userUrl" rel="external nofollow" > 上,结果控制台报 XSS 风险,页面还被 CSP 拦了。试过用 URL 构造函数校验,但 javascript: 协议居然能通过?现在不知道该怎么安全地处理这种输入。
这是我的简化代码:
<template>
<a :href="untrustedUrl" rel="external nofollow" >点击</a>
</template>
<script setup>
const untrustedUrl = 'javascript:alert("xss")';
</script>- 1
回答
22浏览
Data URL 在 Vue 中如何安全地用于图片 src 防 XSS?
我在 Vue 项目里用用户上传的 base64 图片直接赋值给 img 的 src,担心会有 XSS 风险。比如下面这样写: <template> <img :src="userPr...
- 1
回答
15浏览
JavaScript协议链接会被XSS攻击吗?怎么防?
我在项目里有个地方要动态生成超链接,用户可以输入URL,但我发现如果输入 javascript:alert(1) 这种,点击就会执行脚本,这算XSS漏洞吧? 我试过用正则过滤 javascript:,...
- 2
回答
66浏览
Vue组件用了v-html被SAST标记XSS漏洞,但数据已经转义了该怎么办?
我在开发用户评论展示功能时,用Vue的v-html渲染经过sanitize-html过滤的内容,但SonarQube扫描还是报XSS风险。代码如下: import sanitizeHtml from ...
- 1
回答
30浏览
用户输入的javascript:伪协议怎么防不住XSS?
在React项目里处理用户提交的留言内容时,发现如果用户输入类似javascript:alert(1)这样的内容,直接渲染后居然真的会执行脚本。虽然用了DOMPurify清理和转义特殊字符,但测试输入...
- 2
回答
20浏览
前端被XSS攻击了,应急响应该怎么做?
我们线上 Vue 项目突然收到用户反馈,页面里弹出了奇怪的 alert,怀疑是 XSS 攻击。我看了下代码,确实有个地方直接用了 v-html 渲染用户输入的内容,但之前没做任何过滤。现在想知道:一旦...
- 2
回答
35浏览
Vue中使用v-html时如何避免XSS漏洞?
在Vue项目里用v-html渲染用户输入的内容时,发现输入的alert(1)居然真的弹窗了。我试过用replace替换尖括号,但复杂HTML结构就乱了,怎么安全地处理用户输入避免XSS? <te...
- 2
回答
280浏览
AppScan扫描后提示‘XSS漏洞’,但代码里用了转义,怎么解决?
我在用AppScan扫描Vue项目时,发现一个XSS漏洞指向这个组件: <div v-html="renderContent"></div> 代码里已经对接口返回的数据做了HT...
- 1
回答
73浏览
WebView暴露JavaScript接口后如何防范XSS攻击?
我在开发Android混合应用时,通过WebView的addJavascriptInterface暴露了一个本地方法,但测试时发现可以通过XSS注入执行任意JS。尝试过设置webView.getSet...
- 1
回答
6浏览
JavaScript协议链接也会触发XSS吗?
我在做富文本展示功能,用户输入的内容里可能包含超链接。我过滤了标签,但发现如果链接是javascript:alert(1)这种形式,点击后还是会执行代码,这算XSS漏洞吗? 我试过用正则匹配href属...
- 2
回答
29浏览
Vue Transition组件子元素动画不触发怎么办?
在用Vue的Transition组件包裹列表时,切换列表项时外层动画正常,但子元素的hover效果动画突然失效了,这是为什么? 我尝试给Transition加了mode="out-in",然后在CSS...
javascript:协议语法上是合法的,所以能过。直接给你一个能用的方案,复制这个函数去过滤:
然后你的组件改成这样:
这样处理后,危险链接会被替换成
#,不会触发XSS警告也不会执行恶意代码。如果你想更严格一点,可以用白名单机制,只允许
http://、https://、mailto:这些安全协议,其他的全拦截。不过看你业务需求,有些项目可能还需要tel:或者相对路径,自己往白名单里加就行。