在项目中碰到安全部门测试,输入一段脚本'<iframe srcdoc=" <script>alert('xss]</script></iframe>">','<p>Test XSS< img src=X one rror=prompt(123423423423)>123123ff</p >',然后就会出现弹窗,针对于这种情况,初始情况涉及地方不多可以针对这个脚本禁止输入script标签这种,但涉及多和攻击方式多的话就需要处理很多种情况,这时我在网上找了下方案,发现了DOMPurify插件。
DOMPurify 是一个强大的库,可以用来清理和净化 HTML 内容,防止 XSS 攻击。
1,安装(也可script引入)
npm install dompurify
2,import DOMPurify from 'dompurify';
3,使用过滤内容(USE_PROFILES: { html: true }开启严格模式)
const content = DOMPurify.sanitize(textContent, { USE_PROFILES: { html: true } });
标签:脚本,XSS,USE,跨站,script,DOMPurify,PROFILES From: https://www.cnblogs.com/liujiajiablog/p/18513376