Vue项目中使用DOMPurify防范富文本编辑器XSS攻击的完整指南

最新推荐文章于 2026-06-23 16:11:00 发布
原创 最新推荐文章于 2026-06-23 16:11:00 发布 · 198 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#vue.js #xss #DOMPurify

概述

在现代Web应用开发中,富文本编辑器是常见的功能组件,但也是XSS(跨站脚本攻击)的主要入口之一。本文详细介绍如何在Vue项目中使用DOMPurify库来防范富文本编辑器的XSS安全风险。

XSS攻击风险分析

常见攻击方式

  • 脚本注入:用户输入<script>alert('XSS')</script>
  • 事件属性注入:用户输入<img src="x" onerror="alert('XSS')">
  • 链接注入:用户输入<a href="javascript:alert('XSS')">点击</a>

潜在危害

  • 窃取用户Cookie和登录凭证
  • 劫持用户会话
  • 修改页面内容误导用户
  • 传播恶意软件

DOMPurify简介

DOMPurify是一个现代化、快速、兼容性好的DOM净化库,专门用于防范XSS攻击。它基于白名单机制,只允许安全的HTML标签和属性通过。

主要特性

  • 零依赖
  • 快速高效
  • 高度可配置
  • 支持多种安全选项

安装和基本使用

1. 安装DOMPurify

1. 安装DOMPurify

npm install dompurify

2. 基本用法

import DOMPurify from 'dompurify';
const dirty = '<p>Some HTML with <script>alert("XSS")</script></p>';
const clean = DOMPurify.sanitize(dirty); console.log(clean); // '<p>Some HTML with </p>'

Vue项目中的集成实现

1. 创建安全过滤工具函数

// utils/sanitize.js
import DOMPurify from 'dompurify';

const purifyConfig = {
  // 允许的安全标签
  ALLOWED_TAGS: [
    'p', 'br', 'hr', 'h1', 'h2', 'h3', 'h4', 'h5', 'h6',
    'strong', 'em', 'u', 's', 'sub', 'sup', 'span', 'a', 'img',
    'ul', 'ol', 'li', 'blockquote', 'code', 'pre', 'table', 'thead', 'tbody', 'tr', 'th', 'td',
    'div', 'section', 'article', 'header', 'footer', 'nav', 'aside'
  ],
  // 允许的安全属性
  ALLOWED_ATTR: [
    'href', 'src', 'alt', 'title', 'width', 'height', 'style',
    'class', 'id', 'data-id', 'data-type', 'data-src', 'data-href'
  ],
  // 明确禁止的危险标签
  FORBID_TAGS: ['script', 'object', 'embed', 'iframe', 'frame', 'frameset', 'applet', 'base', 'link', 'meta', 'style'],
  // 明确禁止的危险属性
  FORBID_ATTR: [
    'onerror', 'onload', 'onmouseover', 'onclick', 'onfocus', 'onblur', 'onsubmit', 'onchange',
    'javascript:', 'data:text/html', 'v-on:', '@', 'x-on:', 'ng-click', 'ng-bind-html'
  ],
  USE_PROFILES: { html: true },
  SANITIZE_DOM: true
};

export const sanitizeHTML = (html) => {
  if (!html || typeof html !== 'string') return '';
  
  try {
    // 预处理:移除明显的脚本标签
    let cleaned = html.replace(/<script[^>]*>.*?<\/script>/gi, '')
                     .replace(/<script[^>]*\/>/gi, '')
                     .replace(/javascript:[^"']*/gi, '');
    
    // 使用DOMPurify进行深度净化
    return DOMPurify.sanitize(cleaned, purifyConfig);
  } catch (error) {
    console.warn('DOMPurify sanitization failed:', error);
    return html.replace(/<script[^>]*>.*?<\/script>/gi, '').replace(/javascript:[^"']*/gi, '');
  }
};

2. 富文本编辑器组件集成

以下是一个完整的富文本编辑器组件,集成了DOMPurify安全过滤:

<!-- components/editor.vue -->
<template>
<div>
  <script :id="randomId" name="content" type="text/plain">
  </script>
</div> 
</template>

<script>
import _ from 'lodash';
import DOMPurify from 'dompurify';

// 安全配置
const purifyConfig = {
  ALLOWED_TAGS: [
    'p', 'br', 'hr', 'h1', 'h2', 'h3', 'h4', 'h5', 'h6',
    'strong', 'em', 'u', 's', 'sub', 'sup', 'span', 'a', 'img',
    'ul', 'ol', 'li', 'blockquote', 'code', 'pre', 'table', 'thead', 'tbody', 'tr', 'th', 'td',
    'div', 'section', 'article', 'header', 'footer', 'nav', 'aside'
  ],
  ALLOWED_ATTR: [
    'href', 'src', 'alt', 'title', 'width', 'height', 'style',
    'class', 'id', 'data-id', 'data-type', 'data-src', 'data-href'
  ],
  FORBID_TAGS: ['script', 'object', 'embed', 'iframe', 'frame', 'frameset', 'applet', 'base', 'link', 'meta', 'style'],
  FORBID_ATTR: [
    'onerror', 'onload', 'onmouseover', 'onclick', 'onfocus', 'onblur', 'onsubmit', 'onchange',
    'javascript:', 'data:text/html', 'v-on:', '@', 'x-on:', 'ng-click', 'ng-bind-html'
  ],
  USE_PROFILES: { html: true },
  SANITIZE_DOM: true
};

// 安全过滤函数
const sanitizeHtml = (html) => {
  if (!html || typeof html !== 'string') return '';
  try {
    let cleaned = html.replace(/<script[^>]*>.*?<\/script>/gi, '')
                     .replace(/<script[^>]*\/>/gi, '')
                     .replace(/javascript:[^"']*/gi, '');
    return DOMPurify.sanitize(cleaned, purifyConfig);
  } catch (error) {
    console.warn('DOMPurify sanitization failed:', error);
    return html.replace(/<script[^>]*>.*?<\/script>/gi, '').replace(/javascript:[^"']*/gi, '');
  }
};

export default {
  name: 'VueUEditor',
  props: {
    ueditorPath: {
      type: String,
      default: 'static/umeditor/'
    },
    name: {
      type: String,
      default: ''
    },
    ueditorConfig: {
      type: Object,
      default: () => ({})
    }
  },
  data() {
    return {
      randomId: 'editor_1',
      instance: null,
      scriptTagStatus: 0,
      UEConfig: {
        autoHeightEnabled: false,
        allowDivTransToP: false,
        // UEditor内置过滤规则作为第一道防线
        filterRules: {
          'script': function() { return ''; },
          '*': function(tag, attrs) {
            const filteredAttrs = {};
            for(const attr in attrs) {
              if(!attr.startsWith('on')) {
                filteredAttrs[attr] = attrs[attr];
              }
            }
            return { attrs: filteredAttrs };
          }
        }
      }
    };
  },
  created() {
    if(this.name !== 'ud1'){
      this.randomId = this.name;
    }
    this.UEConfig = _.defaultsDeep({}, this.UEConfig, this.ueditorConfig);
    
    if (window.UE !== undefined) {
      this.scriptTagStatus = 2;
      this.initEditor();
    } else {
      this.insertScriptTag();
    }
  },
  beforeDestroy() {
    if (this.instance !== null && this.instance.destroy) {
      this.instance.destroy();
    }
  },
  methods: {
    // 获取安全内容
    getSafeContent() {
      if (!this.instance) return '';
      const rawContent = this.instance.getContent();
      return sanitizeHtml(rawContent);
    },
    
    // 设置安全内容
    setSafeContent(content) {
      if (!this.instance) return;
      const safeContent = sanitizeHtml(content);
      this.instance.setContent(safeContent);
    },
    
    insertScriptTag() {
      let editorScriptTag = document.getElementById('editorScriptTag');
      let configScriptTag = document.getElementById('configScriptTag');
      
      if (editorScriptTag === null) {
        configScriptTag = document.createElement('script');
        configScriptTag.type = 'text/javascript'; 
        configScriptTag.src = this.ueditorPath + 'umeditor.config.js'; 
        configScriptTag.id = 'configScriptTag';

        editorScriptTag = document.createElement('script');
        editorScriptTag.type = 'text/javascript'; 
        editorScriptTag.src = this.ueditorPath + 'umeditor.js'; 
        editorScriptTag.id = 'editorScriptTag';
        
        let s = document.getElementsByTagName('head')[0];
        s.appendChild(configScriptTag);
        s.appendChild(editorScriptTag);
      }

      if (configScriptTag.loaded) {
        this.scriptTagStatus++;
      } else {
        configScriptTag.addEventListener('load', () => {
          this.scriptTagStatus++;
          configScriptTag.loaded = true;
          this.initEditor();
        });
      }

      if (editorScriptTag.loaded) {
        this.scriptTagStatus++;
      } else {
        editorScriptTag.addEventListener('load', () => {
          this.scriptTagStatus++;
          editorScriptTag.loaded = true;
          this.initEditor();
        });
      }

      this.initEditor();
    },
    
    initEditor() {
      if (this.scriptTagStatus === 2 && this.instance === null) {
        this.$nextTick(() => {
          this.instance = window.UM.getEditor(this.randomId, this.UEConfig);
          
          // 直接向实例添加安全方法
          this.instance.getSafeContent = this.getSafeContent.bind(this);
          this.instance.setSafeContent = this.setSafeContent.bind(this);
          
          setTimeout(() => {
            this.$emit('ready', this.instance);
          }, 500)
        });
      }
    }
  }
};
</script>

 

3. 父组件中使用安全方法

<!-- 使用富文本编辑器的组件 -->
<template>
  <div>
    <vue-editor :name="'ud1'" @storeUE="storeUE" :ueditor-config="ueditorConfig"></vue-editor>
    <button @click="saveContent">保存内容</button>
  </div>
</template>

<script>
import VueEditor from '@/components/editor.vue';

export default {
  components: {
    VueEditor
  },
  data() {
    return {
      editorInstance: null,
      ueditorConfig: {
        initialFrameWidth: '100%',
        initialFrameHeight: 560
      }
    }
  },
  methods: {
    storeUE(name, editor) {
      this.editorInstance = editor; // 保存编辑器实例
    },
    
    saveContent() {
      if (!this.editorInstance) return;
      
      // 使用安全方法获取内容
      const safeContent = this.editorInstance.getSafeContent();
      
      // 发送到服务器
      this.sendToServer(safeContent);
    },
    
    sendToServer(content) {
      // 发送经过安全过滤的内容到服务器
      console.log('Sending safe content:', content);
    }
  }
}
</script>

 

安全最佳实践

1. 多层防护策略

  • 客户端过滤:使用DOMPurify进行前端过滤
  • 服务端验证:在服务器端再次进行安全验证
  • 内容安全策略(CSP):配置HTTP头限制脚本执行

2. 严格配置原则

  • 采用最小权限原则,只允许必要的HTML标签和属性
  • 定期审查和更新安全配置
  • 对不同类型的用户内容使用不同的安全策略

总结

通过在Vue项目中正确集成DOMPurify库,我们可以有效地防范富文本编辑器的XSS攻击风险。关键要点包括:

  1. 合理的配置:根据业务需求制定合适的白名单
  2. 双重过滤:客户端和服务端都进行安全过滤
  3. 持续监控:记录和分析安全事件
  4. 定期更新:随着业务发展调整安全策略

实施这套方案后,富文本编辑器将具备较强的安全防护能力,有效保护应用和用户免受XSS攻击的威胁。

a72039
关注
【高频考点精讲】前端富文本编辑器安全:XSS过滤和内容净化方案
全栈老李的博客
07-01 952
富文本安全就像给房子装防盗门——你不能等到被偷了才想起要装。在我的全栈开发生涯中,见过太多因为"这个功能很简单"而忽略安全考虑的惨痛案例。前端过滤提升用户体验(快速反馈)服务端校验确保数据可靠内容安全策略(CSP)作为最后防线定期安全审计和更新依赖记住我"全栈老李"的安全箴言:用户输入都是有害的,直到被证明无害!下期我会深入讲解CSP策略的实战配置,关注我不错过更新。
Vue安全神器!vue-dompurify-html让你的应用告别XSS攻击,一行代码解决HTML注入问题
前端开发-前端技术分享
09-17 1740
Vue开发中担心XSS攻击vue-dompurify-html为你提供最安全的HTML渲染解决方案!基于业界认可的DOMPurify,零配置即可使用,智能过滤恶意代码同时保留安全样式。本文详解安装配置、使用方法、高级配置和最佳实践,让你的Vue应用固若金汤!
Vue3+Ts 解决富文本编辑器潜在的XSS攻击
PhoenixGuangyu的博客
01-04 3850
当我们使用v-html去解析 富文本 时,遇到script标签会自动解析并运行。例如:我们在富文本中插入一段字符串 "hello vue<img src="../qwe" onerror="alert(1)">"同理 ,若插入其他脚本,则可以悄无声息地获取页面中的各种信息。XSS攻击是一种利用Web应用程序中存在的漏洞,向用户的浏览器注入恶意脚本的攻击方式。二、解决方案2:使用html自带的清洗器:sanitize-html。一、解决方案1:使用 vue-dompurify-html 插件。
Vue3富文本编辑器组件 Tiptap、Quill
BillKu的博客
09-12 1391
Vue 3 项目使用专用的富文本编辑器组件(如 Tiptap 或 Quill)来安全地处理 HTML 内容是个不错的选择。它们通常内置了安全机制或提供了与安全(如 DOMPurify)集成的方式,能有效防御 XSS 攻击,同时提供良好的编辑体验。💡:没有“最好”的编辑器,只有“最适合”的。选择时请根据你的项目需求、对安全性的要求以及开发团队的熟悉程度来决定。
Vue2Editor安全指南:防止XSS攻击和内容过滤的最佳实践
gitblog_01117的博客
04-12 918
Vue2Editor作为基于Vue.js和Quill构建的富文本编辑器,在提供便捷编辑体验的同时,也面临着Web应用常见的安全挑战。本文将分享保护Vue2Editor应用免受XSS攻击完整方案,帮助开发者构建更安全的内容编辑系统。 ## 🚨 XSS攻击的潜在风险 富文本编辑器XSS攻击的高危区域,攻击者可能通过注入恶意脚本窃取用户信息或控制页面。Vue2Editor的核心依赖Quill虽
web应用技术作业06
2403_89185994的博客
06-17 128
把员工信息列表展示的页面的表格样式,从“带斑马纹表格”,改成“基础表格”样式,并且只占窗口的60%在pom.xml文件中引入dom4j的依赖用于解析XML文件emp.xml。stripe属性可以创建带斑马纹的表格。margin: 0 auto居中。border显示边框。
Nacr Design — Nuxt 3/4 企业级 Vue 组件,80+ 组件开箱即用
最新发布
weixin_58946315的博客
06-23 241
全网首个深度集成 ECharts 图表 + Markdown 编辑器的 Nuxt UI 组件 TypeScript 全覆盖 · 自动导入 · 按需加载 · 一行配置
vue3项目引用vue-office组件
荔枝吖阿
06-17 93
1. 安装 (vue-demi 0.14.10版本的比较稳定)2. Vite 配置优化。
若以SpringBoot-Vue, 数据源切换架构详解
qq_43071699的博客
06-20 514
数据源切换架构摘要 本项目基于Spring Boot实现了一套灵活的数据源切换机制,仅需修改application.yml中的database.type配置项,即可自动完成以下联动: 配置层:通过Profile机制加载对应数据的连接配置 属性绑定:自动绑定数据类型、驱动、方言等参数 数据源装配:动态创建Druid连接池并设置为主数据源 SQL方言适配:自动加载对应数据的Mapper文件和分页方言 运行时路由:通过AOP实现主从读写分离 核心特点: 一处配置修改(database.type)触发五处自
135 Vue 卡片标签溢出处理:如何用真实 DOM 宽度实现“显示部分标签 +N
samllucky的博客
06-17 233
本文介绍了在Vue中实现卡片标签溢出处理的精确方案。当标签过多时,不是简单截断,而是完整显示能放下的标签并用"+N"表示剩余数量。核心思路是通过隐藏的DOM测量标签实际宽度,动态计算容器能容纳的标签数。具体实现包括: 准备两套DOM:显示的标签区域和隐藏的测量区域 使用visibility:hidden而非display:none确保能获取真实宽度 计算容器可用宽度(需减去padding) 考虑flex布局的gap间距 实现从多到少的尝试算法,确定最多能完整显示的标签数 使用nextTick确保DOM更新完
组件 = 模板 + 业务逻辑
linsk1998的博客
06-23 188
内置了完整的元数据系统,你可以像 Java 那样自己写注解,给字段打标签,运行时直接读取配置。做动态表单、配置化表格、低代码页面的时候特别好用 —— 模型类写完,表单和表格直接照着元数据自动渲染,不用重复写配置。// 一行代码定义一个自定义注解@Model@Label("用户ID")@Required@Label("用户名")// 运行时直接读取所有字段元数据。
Spring Boot + Vue 在线法律咨询辅助系统:从需求分析、数据设计到核心功能实现
2301_79630794的博客
06-22 213
基于 Spring Boot、Vue、MyBatis 与 MySQL 设计在线法律咨询辅助系统,梳理用户端与管理端功能、核心数据表、登录鉴权流程、咨询业务闭环及测试优化思路。
TypeScript 基础入门:在 Vue/uni-app 项目中理解常见类型
前端开发努力中!
06-17 314
TypeScript 基础类型在 Vue/uni-app 中的应用 本文介绍了 TypeScript 在 Vue/uni-app 项目中的基础类型用法,包括: 类型推断:自动推断变量类型 函数类型:参数和返回值类型约束 字面量类型:限制变量为固定值 联合类型:变量可为多种类型之一 any与unknown:处理不确定类型,unknown更安全 类型断言:强制指定类型 void与never:函数返回值类型 Vue中ref的泛型写法:明确响应式数据类型 文章通过实际代码示例,对比了不同类型的特点和使用场景,特别强
vue 插槽
a378113472的博客
06-20 279
template><h2>卡片标题</h2>-- slot 就是内容的占位符 --></div>渲染结果< div class = " card " > < h2 > 卡片标题 </ h2 > < p > 这是从父组件传入的内容 </ p > </ div >< div class = " card " > < h2 > 卡片标题 </ h2 > < p > 这是从父组件传入的内容 </ p > </ div >
拖拽文件上传组件
dy1717的博客
06-17 63
拖拽上传文件组件
补充一个小知识点:有关@click.native
m0_67841039的博客
06-16 281
结论:只要你想响应用户点击 el-dropdown-item 的动作,就必须使用 @click.native。在使用 Element UI 的 el-dropdown-item 组件时,如果你想监听原生的点击事件(即 DOM 层面的 click),必须加上 .native 修饰符,即使用 @click.native。Vue 中,默认的 @click 监听的是子组件通过 $emit(‘click’) 主动触发的事件,而 el-dropdown-item 并没有 $emit(‘click’)。
SpringBoot3 + Vue 订单存物流项目完整案例
Peter_Changyb的博客
06-20 391
本文将基于 Spring Boot 3 与 Vue 3 技术栈,开发一套包含订单下单、商品存扣减、物流状态变更的完整业务案例。该案例聚焦核心业务流,不引入复杂权限体系,兼顾功能可扩展性与高并发场景下的业务稳定性,适合作为全栈开发技术验证、中小型业务系统基础脚手架,或在校学生课程设计 / 毕业设计的参考工程。
Vue defineModel 转 React:VuReact 怎么处理?
牛爷爷的博客
06-23 207
VuReact工具能够将Vue 3的defineModel宏编译为等效的React代码,具体转换如下: 基础用法:将Vue的defineModel分解为类型声明、事件回调和响应式ref(使用useVRef和useUpdated),保持.value赋值方式不变。 选项支持:处理type、default、required等选项,转换为React的类型约束和默认值逻辑。 模板绑定:将Vue的v-model编译为React受控组件的value+onChange模式。 限制:不支持数组解构和get/set等高级选项。
VuReact 1.9.0 发布,支持 Vue 3.4 defineModel 编译到 React
牛爷爷的博客
06-23 441
VuReact 现已完整支持 Vue 3.4+ 的 defineModel 宏,可将其编译为 React 标准代码。开发者可在 Vue 源码中直接使用 defineModel 声明双向绑定,VuReact 会将其转换为 useVRef + useUpdated 的组合实现响应式更新。支持基础绑定、自定义 prop 名称、类型与默认值等特性,暂不支持数组解构、自定义存取器等实验功能。该特性让 Vue 开发者迁移到 React 时能保持熟悉的开发体验,无需手动改写为 useState 模式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值