腳本之家服務(wù)器常用軟件

快捷導(dǎo)航

軟件下載

android MAC 驅(qū)動(dòng)下載字體下載 DLL

源碼下載

PHP ASP.NET ASP JSP

軟件編程

C# JAVA C 語言 Delphi Android

網(wǎng)絡(luò)編程

PHP ASP.NET ASP JavaScript

在線工具

CSS格式化 JS格式化 Html轉(zhuǎn)化為Js

數(shù)據(jù)庫

MYSQL MSSQL oracle DB2 MARIADB

CMS

PHPCMS DEDECMS 帝國CMS WordPress

常用工具

PHP開發(fā)工具 python Photoshop 必備軟件

vue使用csp的簡(jiǎn)單示例

更新時(shí)間：2022年08月17日 10:05:23 作者：D-0

Vue是一套用于構(gòu)建用戶界面的漸進(jìn)式框架,與其它大型框架不同的是,Vue被設(shè)計(jì)為可以自底向上逐層應(yīng)用,下面這篇文章主要給大家介紹了關(guān)于vue使用csp的相關(guān)資料,需要的朋友可以參考下

在 VUE 中 {{{data}}} 和 v-html 屬性會(huì)把內(nèi)容解析成 html，可能會(huì)造成 xss 漏洞；

以及當(dāng)使用 SSR（ Server Side Rendering（服務(wù)端渲染））， SSR 的時(shí)候忘記了轉(zhuǎn)義和過濾而導(dǎo)致 XSS；

vue 使用 csp 時(shí)，需要使用 csp 兼容版本

$ npm install vue
# 獲取CSP兼容版本：
$ npm install vue@csp

demo：

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<meta http-equiv="Content-Security-Policy" content=" img-src https://*; script-src * 'unsafe-inline' 'nonce-1'; ">
<script src="vue.min.js"></script>
</head>
<body>
<div id="app">
  {{ message }}
</div>

<div id="test"></div>
<div id="test2"></div>


<script nonce=1>
new Vue({
    el:'#app',
    data: {
        message:'Hello World!'
    }
});
</script>
<script type="text/javascript" nonce=1>
document.getElementById('test').innerHTML = 'xxx';


</script>
<script type="text/javascript" nonce=2>
document.getElementById('test2').innerHTML = 'sss'; 

</script>
</body>
</html>

vue 組件成功執(zhí)行，nonce=1 的成功執(zhí)行而 nonce=2 的 js 沒有執(zhí)行，所以 CSP 策略成功執(zhí)行。

VUE 官方文檔里的兼容 CSP 方法：

當(dāng)使用運(yùn)行時(shí)只有建立 WebPACK + Vue 裝載機(jī)或 Browserify + vueify，將預(yù)編譯渲染模板，能工作在 CSP 環(huán)境。

這里使用 webpack +vue 嘗試，用 npm 搭建 vue 的官方 demo，vue init webpack my-first-vue-project.

改寫 index ，加入 meta

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8">
   <meta http-equiv="Content-Security-Policy" content=" script-src * 'unsafe-inline' ; ">

    <title>myvue</title>
  </head>
  <body>
    <div id="app"></div>
    <!-- built files will be auto injected -->
  </body>
</html>

npm run dev ，瀏覽器 console 發(fā)現(xiàn)報(bào)錯(cuò)

按提示，meta 加入 'unsafe-eval' 后成功運(yùn)行：

不過無法指定 nonce，因此 VUE 用 webpack 時(shí)要限制 script-src 的域名才有安全的 CSP 的策略。

總結(jié)：

vue ，react 都對(duì)基本數(shù)據(jù)進(jìn)行了轉(zhuǎn)義，同時(shí)，許多基于 MVVM 框架的單頁面應(yīng)用不需要刷新 URL 來控制 view。但代碼疏忽還是有 xss 可能性，所以使用 CSP 策略可以雙重保險(xiǎn)，避免人為的疏忽導(dǎo)致 XSS 漏洞。

到此這篇關(guān)于vue使用csp的文章就介紹到這了,更多相關(guān)vue使用csp內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！