使用v-html指令的禁忌和解决xss注入攻击
1.由于v-html会执行所有的html代码,因此会执行所有可能带危险的html代码
2.在使用v-html时为了防止XSS攻击,可以安装 npm install xss 插件,但是我们在渲染富文本编辑的文章时,使用XSS会把除了标签和内容之外的所有东西都给过滤掉,如calss,style过滤掉,那么样式就展现不出来了,导致美观度不够。
3.使用vue-dompurify-html既可以保留样式和防止xss攻击
// 安装: npm install vue-dompurify-html // 引入: import VueDOMPurifyHTML from 'vue-dompurify-html' Vue.use(VueDOMPurifyHTML) // 使用: <div v-dompurify-html="rawHtml"></div>