使用vue开发项目应该注意的XSS风险

  无论是 vue 、 react 框架,他们都能在render 阶段避免 innerHTML、outerHTML 的XSS隐患。但是,dom 节点中内联的事件监听器依旧可以把字符串当作代码执行,由此当工作碰到以下情况时,需要对执行的对象进行有意识的判断再去执行。

  1、dom 中内联事件监听器:onclick="(xxx) => func(xxx)"、onerror、onload、onmouseover、location => location.href="危险代码"

  2、<a> 所属的 href 

  3、老生常谈 eval()

  4、两个常见的宏任务: setInterval()、setTimeout()

  

posted @ 2022-01-09 21:53  Jason7322  阅读(639)  评论(0)    收藏  举报