欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

vue使用csp的簡單示例

 更新時間:2022年08月17日 10:05:23   作者:D-0  
Vue是一套用于構(gòu)建用戶界面的漸進式框架,與其它大型框架不同的是,Vue被設(shè)計為可以自底向上逐層應(yīng)用,下面這篇文章主要給大家介紹了關(guān)于vue使用csp的相關(guān)資料,需要的朋友可以參考下

在 VUE 中 {{{data}}} 和 v-html 屬性會把內(nèi)容解析成 html,可能會造成 xss 漏洞;

以及 當(dāng)使用 SSR( Server Side Rendering(服務(wù)端渲染)), SSR 的時候忘記了轉(zhuǎn)義和過濾而導(dǎo)致 XSS;

vue 使用 csp 時,需要使用 csp 兼容版本

$ npm install vue
# 獲取CSP兼容版本:
$ npm install vue@csp

demo:

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<meta http-equiv="Content-Security-Policy" content=" img-src https://*; script-src * 'unsafe-inline' 'nonce-1'; ">
<script src="vue.min.js"></script>
</head>
<body>
<div id="app">
  {{ message }}
</div>

<div id="test"></div>
<div id="test2"></div>


<script nonce=1>
new Vue({
    el:'#app',
    data: {
        message:'Hello World!'
    }
});
</script>
<script type="text/javascript" nonce=1>
document.getElementById('test').innerHTML = 'xxx';


</script>
<script type="text/javascript" nonce=2>
document.getElementById('test2').innerHTML = 'sss'; 

</script>
</body>
</html>

vue 組件成功執(zhí)行,nonce=1 的成功執(zhí)行而 nonce=2 的 js 沒有執(zhí)行,所以 CSP 策略成功執(zhí)行。

VUE 官方文檔里的兼容 CSP 方法:

    當(dāng)使用運行時只有建立 WebPACK + Vue 裝載機或 Browserify + vueify,將預(yù)編譯渲染模板,能工作在 CSP 環(huán)境。

這里使用 webpack +vue 嘗試,用 npm 搭建 vue 的官方 demo,vue init webpack my-first-vue-project.

改寫 index ,加入 meta

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8">
   <meta http-equiv="Content-Security-Policy" content=" script-src * 'unsafe-inline' ; ">

    <title>myvue</title>
  </head>
  <body>
    <div id="app"></div>
    <!-- built files will be auto injected -->
  </body>
</html>

npm run dev ,瀏覽器 console 發(fā)現(xiàn)報錯

按提示,meta 加入 'unsafe-eval' 后成功運行:

不過無法指定 nonce,因此 VUE 用 webpack 時要限制 script-src 的域名才有安全的 CSP 的策略。

總結(jié):

vue ,react 都對基本數(shù)據(jù)進行了轉(zhuǎn)義,同時,許多基于 MVVM 框架的單頁面應(yīng)用不需要刷新 URL 來控制 view。但代碼疏忽還是有 xss 可能性,所以使用 CSP 策略可以雙重保險,避免人為的疏忽導(dǎo)致 XSS 漏洞。

到此這篇關(guān)于vue使用csp的文章就介紹到這了,更多相關(guān)vue使用csp內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • Vue.js仿Metronic高級表格(二)數(shù)據(jù)渲染

    Vue.js仿Metronic高級表格(二)數(shù)據(jù)渲染

    這篇文章主要為大家詳細介紹了Vue.js仿Metronic高級表格的數(shù)據(jù)渲染,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2017-04-04
  • 使用vue實現(xiàn)滑動滾動條來加載數(shù)據(jù)

    使用vue實現(xiàn)滑動滾動條來加載數(shù)據(jù)

    在vuejs中,我們經(jīng)常使用axios來請求數(shù)據(jù),但是有時候,我們請求的數(shù)據(jù)量很大,那么我們?nèi)绾螌崿F(xiàn)滑動滾動條來加載數(shù)據(jù)呢,接下來小編就給大家介紹一下在vuejs中如何實現(xiàn)滑動滾動條來動態(tài)加載數(shù)據(jù),需要的朋友可以參考下
    2023-10-10
  • element-ui?table表格控件實現(xiàn)單選功能代碼實例

    element-ui?table表格控件實現(xiàn)單選功能代碼實例

    這篇文章主要給大家介紹了關(guān)于element-ui?table表格控件實現(xiàn)單選功能的相關(guān)資料,單選框是指在?Element?UI?的表格組件中,可以通過單選框來選擇一行數(shù)據(jù)。用戶只能選擇一行數(shù)據(jù),而不能同時選擇多行,需要的朋友可以參考下
    2023-09-09
  • vue封裝組件的過程詳解

    vue封裝組件的過程詳解

    這篇文章主要為大家詳細介紹了vue中封裝組件的相關(guān)知識,文中的示例代碼講解詳細,對我們深入了解vue有一定的幫助,感興趣的小伙伴可以跟隨小編一起學(xué)習(xí)一下
    2023-10-10
  • 為vue-router懶加載時下載js的過程中添加loading提示避免無響應(yīng)問題

    為vue-router懶加載時下載js的過程中添加loading提示避免無響應(yīng)問題

    這篇文章主要介紹了為vue-router懶加載時下載js的過程中添加loading提示避免無響應(yīng)問題,需要的朋友可以參考下
    2018-04-04
  • vuex中...mapstate和...mapgetters的區(qū)別及說明

    vuex中...mapstate和...mapgetters的區(qū)別及說明

    這篇文章主要介紹了vuex中...mapstate和...mapgetters的區(qū)別及說明,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2022-08-08
  • Ant Design Vue pro 動態(tài)路由的實現(xiàn)和打包方式

    Ant Design Vue pro 動態(tài)路由的實現(xiàn)和打包方式

    這篇文章主要介紹了Ant Design Vue pro 動態(tài)路由的實現(xiàn)和打包方式,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2023-06-06
  • vue2實現(xiàn)pdf電子簽章問題記錄

    vue2實現(xiàn)pdf電子簽章問題記錄

    仿照e簽寶,實現(xiàn)pdf電子簽章?=>?拿到pdf鏈接,移動章的位置,獲取章的坐標(biāo),怎么實現(xiàn)呢,下面小編給大家介紹vue2實現(xiàn)pdf電子簽章問題記錄,感興趣的朋友一起看看吧
    2023-12-12
  • 淺析vue-router原理

    淺析vue-router原理

    這篇文章主要圍繞Vue的SPA單頁面設(shè)計展開。SPA(single page application):單一頁面應(yīng)用程序,有且只有一個完整的頁面,對vue router原理感興趣的朋友跟隨小編一起看看吧
    2018-10-10
  • 把vue-router和express項目部署到服務(wù)器的方法

    把vue-router和express項目部署到服務(wù)器的方法

    下面小編就為大家分享一篇把vue-router和express項目部署到服務(wù)器的方法,具有很好的參考價值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2018-02-02

最新評論