DOMPurify时一款专门用于防御XSS攻击的库,通过净化HTML的内容,移除恶意脚本,同时保留安全的HTML标签和数学。以下是基础使用指南,涵盖基础的安装与用法。 常常设置在表单的提交中,或者需要根据用户改变html内容的时候,净化字符串,放置隐藏恶意脚本 效果举例:3,进阶用法配置config,允许或禁止特定的标签或者属性跳过净化 自定义钩子函数在净化过程中插入自定义逻辑:4. 处理特殊场景允许 SVG 内容默认情况下,DOMPurify 会移除 SVG 中
需求:使用burp抓包,可以看到富文本编辑器中图片是以base64形式在img标签内的,那就可以添加onclick=alert(1)来注入xss代码
DOMPurify是一个仅限DOM的,超快速的,超级宽容的XSS清理器,用于HTML,MathML和SVG。它也非常简单易用和入门。DOMPurify于2014年2月启动,同时已达到v3.0.5版本。DOMPurify是用JavaScript编写的,适用于所有现代浏览器(Safari(10+),Opera(15+),Edge,Firefox和Chrome - 以及几乎所有使用Blink,Gecko
原创
2023-09-11 09:54:43
626阅读
在Vue开发中担心XSS攻击?vue-dompurify-html为你提供最安全的HTM
