1.對(duì)于從接口請(qǐng)求的數(shù)據(jù)

盡量使用{{}}加載，而不是V-HTML。

vue中的大括號(hào)會(huì)把數(shù)據(jù)解釋為普通文本。通常如果要解釋成html代碼則要用v-html。

而此指令相當(dāng)于innerHTML。

雖然像innerHTML一樣不會(huì)直接輸出script標(biāo)簽，但也可以輸出img，iframe等標(biāo)簽。

vue文檔關(guān)于v-html的說明如下所示：

2.對(duì)用V-HTML和INNERHTML加載的客戶信息進(jìn)行轉(zhuǎn)義

如果顯示內(nèi)容里面有html片段，一定需要用v-html或者innerHTML加載

例如：

<div v-html="`<span>${message}</span>`"></div>

里面的message是客戶自己輸入的信息，如果此時(shí)是惡意的dom片段肯定會(huì)引起XSS攻擊。此時(shí)我們可以對(duì)“<”，">"轉(zhuǎn)譯成“<”，“>”。然后再輸入到頁面。

可以使用lodash里面的escape方法對(duì)客戶信息進(jìn)行轉(zhuǎn)譯。

如下：

import _escape from 'lodash/escape'
Vue.prototype.$escape = _escape

在vue中插入一個(gè)全局方法，對(duì)需要轉(zhuǎn)譯的數(shù)據(jù)就使用這個(gè)方法：

<div v-html="`<span>${$escape(message)}</span>`"></div>

3.在入口頁面的META中使用CSP

在入口文件的head添加meta標(biāo)簽

<meta http-equiv="Content-Security-Policy" content="script-src 'self';style-src 'self'">

<meta http-equiv="Content-Security-Policy" content="style-src 'self' 'unsafe-inline';script-src 'self' 'unsafe-inline' 'unsafe-eval' https://webapi.amap.com https://restapi.amap.com https://vdata.amap.com https://appx/web-view.min.js;worker-src blob:">

該指令說明：允許自身css、js和高德地圖api、地圖數(shù)據(jù)。

上面的CSP設(shè)置表示，script腳本資源和style樣式資源只能加載當(dāng)前域名下的資源。這樣子可以避免外部惡意的腳本的加載和執(zhí)行。

如果頁面有例如下面的標(biāo)簽，那這些CDN資源是加載不了的。

<link  rel="stylesheet">
<script src='https://cdn.bootcdn.net/ajax/libs/angular.js/0.10.0/angular-ie-compat.js'></script>

題外話：個(gè)人不倡議用第三方CDN，其一是不會(huì)減少頁面加載資源的體積，其二是第三方CDN穩(wěn)定性不能保證，有時(shí)候第三方CDN的服務(wù)器會(huì)掛掉導(dǎo)致需要的資源加載不了。

一般會(huì)用下面的CSP配置：

<meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval';style-src 'self' 'unsafe-inline'">

設(shè)置解釋：

• script-src:只加載當(dāng)面域名服務(wù)器下的資源，且允許eval執(zhí)行腳本。因?yàn)閣ebpack在development模式下大量使用eval進(jìn)行腳本注入，且在development中常用的souce-map是cheap-module-eval-source-map。
• 如果script-src設(shè)置成‘self’會(huì)阻止eval的使用。
• style-src:只加載當(dāng)面域名服務(wù)器下的資源，且允許使用內(nèi)聯(lián)資源。有時(shí)候無論在開發(fā)環(huán)境還是生產(chǎn)環(huán)境，可能都是通過webpack打包把CSS內(nèi)容打包到JS文件里面。加載頁面時(shí)，JS腳本會(huì)在頁面中插入一個(gè)個(gè)style標(biāo)簽補(bǔ)充層疊樣式模型。如果style-src設(shè)置成‘self’會(huì)阻止style內(nèi)聯(lián)樣式的插入和執(zhí)行。

4.針對(duì)特殊場(chǎng)景，選擇性過濾XSS標(biāo)簽

在項(xiàng)目中，XSS的安全漏洞很容易出現(xiàn)，例如在聊天模塊和富文本模塊很容易出現(xiàn)。

有時(shí)候你想實(shí)現(xiàn)富文本編輯器里編輯html內(nèi)容的業(yè)務(wù)。

可是又擔(dān)心XSS惡意腳本的注入。

此時(shí)可以使用一個(gè)xss工具。

網(wǎng)址：https://github.com/leizongmin/js-xss。

更詳細(xì)的用法可以看附上的網(wǎng)址，這里簡單說一下用法。

首先下載xss

npm i xss -S

（1）在頁面中引入資源且生成XSS過濾器，對(duì)內(nèi)容進(jìn)行過濾

var xss = require("xss")?
const option={} //自定義設(shè)置
const myxss = new xss.FilterXSS(option);
const line='<script type="text/javascript">alert(1);</script>'
var html = myxss.process(line);
console.log(html); //輸出：&lt;script type="text/javascript"&gt;alert(1);&lt;/script&gt;

（2）如果我想不過濾img標(biāo)簽的onerror屬性，或者不過濾style標(biāo)簽。

通過設(shè)置whiteList可選擇性的保留特定標(biāo)簽及其屬性

例如：

const option={
? ? whiteList:{
? ? ? ? img:['src','onerror'] //img標(biāo)簽保留src,onerror屬性
? ? ? ? style:['type'] //style標(biāo)簽?zāi)J(rèn)是不在whileList屬性里的，現(xiàn)在添加上去
? ? }
}
const myxss = new xss.FilterXSS(option);
letline='<img src="./123.png" onerror="alert(1);" alt="123">'
let html = myxss.process(line);
console.log(html); //輸出：<img src="./123.png" onerror="alert(1);">
line='<style type="text/css">color:white;</style>'
html = myxss.process(line);
console.log(html); //輸出：<style type="text/css">color:white;</style>

xss默認(rèn)的whiteList可以通過console.log(xss.whiteList)顯示。

（3）如果想徹底過濾掉類似script,noscript標(biāo)簽，option可如下設(shè)置：

const option={
? ? stripIgnoreTagBody: ["script","noscript"],
}
const myxss = new xss.FilterXSS(option)
let line='<script type="text/javascript">alert(1);</script>'
let html = myxss.process(line)
console.log(html.length) //輸出0,即html被轉(zhuǎn)化為空字符串
line='<noscript>123</noscript>'
html = myxss.process(line)
console.log(html.length) //輸出0,即html被轉(zhuǎn)化為空字符串

stripIgnoreTagBody用于設(shè)置不在whiteList的標(biāo)簽的過濾方法。

例如script，不在whiteList會(huì)被執(zhí)行xss內(nèi)部的escapeHtml方法。如一開頭的例子會(huì)把“<”，“>”進(jìn)行轉(zhuǎn)義。

但如果stripIgnoreTagBody中添加了script。則會(huì)直接把整個(gè)script標(biāo)簽過濾掉。

（4）xss默認(rèn)生成的過濾器是會(huì)過濾掉任何標(biāo)簽的class屬性。

如果我們不想過濾任何在whiteList的標(biāo)簽的class屬性，可以這么設(shè)置：

const option={
? ? onIgnoreTagAttr: function(tag, name, value, isWhiteAttr) {
? ? ? ? if (['style','class'].includes(name)) {
? ? ? ? ? ? return `${name}="${xss.escapeAttrValue(value)}"`
? ? ? ? }
? ? },
}
const myxss = new xss.FilterXSS(option);
let line='<div class="box"></div>'
let html = myxss.process(line);
console.log(html); //輸出：<div class="box"></div>

onIgnoreAttr方法用于設(shè)置白名單中特定屬性的過濾方法。

更多詳細(xì)教程請(qǐng)看一開頭附上的網(wǎng)址。

總結(jié)

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

最新評(píng)論