How to use Buefy#39;s Dialog component with user provided content and be safe in terms of XSS(如何将Buefy的对话框组件与用户提供的内容一起使用,并确保XSS的安全性)
本文介绍了如何将Buefy的对话框组件与用户提供的内容一起使用,并确保XSS的安全性的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
Buefy的对话框组件需要message属性字符串。根据一份文档,该字符串可以包含HTML。我希望在字符串中使用模板值,但当然这应该是XSS安全的。
当前不安全示例
这是不安全的,因为this.name不安全。我可以使用NPM包对名称进行html编码,但我真的更喜欢使用Vue。
<script lang="ts">
import Vue from 'vue';
export default Vue.extend({
props: {
name: { type: String, required: false },
},
methods: {
showModal() {
this.$buefy.dialog.confirm({
title: 'myTitle',
message: `<p>Hello ${this.name}</p>`, // unsafe - possible XSS!
cancelText: 'Cancel',
confirmText: 'OK',
type: 'is-success',
onConfirm: async () => {
// something
},
});
},
},
});
</script>
这是已使用的Buefy组件的问题,文档here:
所需设置
我已经创建了一个新组件,在本例中我将其命名为ModalMessage.Vue
<template>
<p>Hello {{name}}</p>
</template>
<script lang="ts">
import Vue from 'vue';
export default Vue.extend({
props: {
name: { type: String, required: true },
},
});
</script>
然后,我希望将ModalMessage.Vue呈现为string在TypeScript:
<script lang="ts">
import Vue from 'vue';
import ModalMessage from 'ModalMessage.vue';
export default Vue.extend({
props: {
name: { type: String, required: false },
},
methods: {
showModal() {
this.$buefy.dialog.confirm({
title: 'myTitle',
message:, // todo render ModalMessage and pass name prop
cancelText: 'Cancel',
confirmText: 'OK',
type: 'is-success',
onConfirm: async () => {
// something
},
});
},
},
});
</script>
问题
如何将ModalMessage.Vue呈现并将名称prop传递给string?
我非常肯定这是可能的--我过去就见过。不幸的是,我在网络或StackOverflow上找不到它。我只能找到从到字符串呈现模板的问题,但我不需要它-它需要从到字符串。
推荐答案
我的真正问题是
如何将Buefy的对话框组件与用户提供的内容一起使用并确保安全(&P> 因此,您需要创建一些HTML,在该HTML内容中包含一些用户提供内容(this.name),并在一个对话框中显示它。您说得对,将未过滤的用户输入放入Dialog的message参数是不安全的(如Buefy docs中明确指出的)
但您所需的设置似乎不必要地复杂。最简单的方法是使用(文档很少)这样一个事实,即BuefyDialog配置对象的message参数可以是VNode的Array而不是字符串。它的文档很少,但从源代码here和here可以清楚地看出,如果您传递一个VNode数组,Buefy会将该内容放入Dialog的默认槽中,而不是使用v-html呈现它(这是危险的部分)在Vue中获得VNode的Array最简单的方法是使用插槽...
因此组件:
<script lang="ts">
import Vue from 'vue';
export default Vue.extend({
methods: {
showModal() {
this.$buefy.dialog.confirm({
title: 'myTitle',
message: this.$slots.default, // <- this is important part
cancelText: 'Cancel',
confirmText: 'OK',
type: 'is-success',
onConfirm: async () => {
// something
},
});
},
},
});
</script>
及其用法:
<MyDialog>
<p>Hello {{name}}</p>
</MyDialog>
或
<MyDialog>
<ModalMessage :name="name" />
</MyDialog>
在这两种情况下,如果name包含任何HTML,则它将是encoded by Vue
Here是上述技术的简单演示(使用纯JS而不是TS)
这篇关于如何将Buefy的对话框组件与用户提供的内容一起使用,并确保XSS的安全性的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持编程学习网!
沃梦达教程
本文标题为:如何将Buefy的对话框组件与用户提供的内容一起使用,并确保XSS的安全性
基础教程推荐
猜你喜欢
- 在for循环中使用setTimeout 2022-01-01
- 悬停时滑动输入并停留几秒钟 2022-01-01
- 在 JS 中获取客户端时区(不是 GMT 偏移量) 2022-01-01
- 我什么时候应该在导入时使用方括号 2022-01-01
- 有没有办法使用OpenLayers更改OpenStreetMap中某些要素 2022-09-06
- Karma-Jasmine:如何正确监视 Modal? 2022-01-01
- 当用户滚动离开时如何暂停 youtube 嵌入 2022-01-01
- 响应更改 div 大小保持纵横比 2022-01-01
- 角度Apollo设置WatchQuery结果为可用变量 2022-01-01
- 动态更新多个选择框 2022-01-01
