解决Vue-markdown编辑器加入xss之后,code标签里的代码块会被转义的问题

最新推荐文章于 2025-06-24 20:26:20 发布
原创 最新推荐文章于 2025-06-24 20:26:20 发布 · 2.6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何处理Vue-markdown编辑器在添加XSS防护后,code标签内的代码块被转义的问题。通过使用mavonEditor的底层markdown-it API将字符串转换为HTML片段,并结合js-xss进行过滤,最终用v-html渲染,确保用户输入与展示内容一致,同时兼顾安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

mavonEditor

一、简单的介绍一下关于vue-markdown的使用

  • 安装
 npm install mavon-editor --save
  • 引入(在main.js中全局引入)
import Vue from 'vue'
import mavonEditor from 'mavon-editor'
import 'mavon-editor/dist/css/index.css';
Vue.use(mavonEditor);
  • 使用
 <mavon-editor  v-model="value" ></mavon-editor>

二、问题:考虑到了安全性问题使用了js-xss做过滤,导致code标签里的标签会被解析

  1. 预期效果:code标签的代码块不能被解析,用户输入的内容与展示的内容一一对应,前提条件也需要考虑到安全性问题
  2. 解决思路:
    1.渲染时用mavon-editor 底层 markdown-it 的 api 将字符串转换为 html 片段
    2.用拿到的 html 片段用 js-xss 做过滤,然后用 v-html 渲染
    3.具体实现的代码如下:
    加入xss过滤(main.js)
    import filterXSS from 'xss'
filterXSS.whiteList['input'] = ['type', 'src', 'disabled', 'checked', 'class']
filterXSS.whiteList['img'] = ['src', 'alt', 'title', 'width', 'max-width', 'style', 'height']
filterXSS.whiteList['math'] = []
filterXSS.whiteList['semantics'] = []
filterXSS.whiteList['mrow'] = []
filterXSS.whiteList['mtext'] = []
filterXSS.whiteList['annotation'] = ['encoding']
filterXSS.whiteList['msub'] = []
filterXSS.whiteList['mi'] = []
filterXSS.whiteList['mo'] = []
filterXSS.whiteList['mn'] = []
filterXSS.whiteList['li'] = ['class']
filterXSS.whiteList['span'] = ['class', 'title', 'aria-hidden', 'style']
filterXSS.whiteList['code'] = []
filterXSS.whiteList['li'] = ['class', 'id']
filterXSS.whiteList['td'] = ['style', 'class']
filterXSS.whiteList['p'] = ['style', 'class']
filterXSS.whiteList['div'] = ['style', 'class']
filterXSS.whiteList['a'] = ['style', 'class', 'id', 'target', 'href', 'title']
filterXSS.stripIgnoreTag = true
Vue.prototype.filterXSS = filterXSS;
    展示的内容
    <template>
    <div class="preview-wrapper" v-html="showData"></div>
</template>
<script>
    import mavonEditor from 'mavon-editor';
    export default {
        props: {
            previewInfo: {
                type: String,
                default: ''
            }
        },
        data () {
            return {
                showData: ''
            }
        },
        mounted () {
            this.initMrakdownContent()
        },
        methods: {
            initMrakdownContent () {
                const data = mavonEditor.markdownIt.render(this.previewInfo)
                this.showData = filterXSS(data)
            }
        }
    }
</script>
    previewInfo为用户编辑的内容
vue中使用markdown编辑器代码详解
winne雪
03-11 1215
编辑器效果图 1、安装插件 cnpm install mavon-editor -S 2、在main.js中引入插件 import mavonEditor from 'mavon-editor' import 'mavon-editor/dist/css/index.css' Vue.use(mavonEditor) 3、在组件中使用< mavon-editor />组件来显示编...
基础vue code
weixin_46140106的博客
07-03 989
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>示例</title> <style> .active { color: #f00; }
VUE常用的MARKDOWN插件MAVON-EDITOR,如何避免XSS攻击?
刘大辉的博客
01-26 921
Vue常用的markdown的插件有mavon-editor, 但是我们在安装的时候,往往会被告知该插件存在隐藏的XSS攻击危险。那么如何避免XSS攻击呢? 安装markdown: npm install mavon-editor --save 接下来介绍一款XSS防范插件XSS,可以在npm仓库直接下载。https://github.com/Kylelkh/js-xss 安装命令:npm install xss --save 在Vue页面引入xss import xss from 'xss' 测试
【Web安全】一次性搞懂 XSS 漏洞原理/检测/防御
最新发布
聚焦实战技术的 “白话解读” 和入门级操作指南。
06-24 1157
XSS漏洞本质与防御指南
Vue用实现markdown编译器(如何叫别人眼前一亮的小技能)
h周杰偷的博客
07-11 1018
当下Markdown是最流行的一个编辑器深受技术人员的喜爱,Markdown可以用来编写说明文档,用它写的文档很多技术平台都能通用;Markdown可以用来写技术博客,可以使说明部分和代码都非常清晰易读;Markdown格式转换方便,还可以轻松地将文本转换为 html、pdf等。 首先我们要实现的是这样的效果 在vue中我们想要使用html去翻译成markdown编译器的话我们要用上markdown的安装包 第一步安装markdown安装包 npm i markdown 然后的话我们的.
vue中使用<pre><code标签插入演示代码的高亮插件-vue-highlight的使用
hellenYuan的博客
03-27 2459
npm install vue-code-highlight --save 局部引入 import { component as VueCodeHighlight } from 'vue-code-highlight'; components:{ VueCodeHighlight, ... } <vue-code-highlight> //Paste your code here </vue-code-highlight> 全局引入 import VueCodeH.
AB在线Markdown编辑器
08-11
对于在线编辑器,必须考虑到XSS(跨站脚本攻击)等安全问题。开发者需要对用户输入进行适当的过滤和转义,防止恶意代码执行。 综上所述,"AB在线Markdown编辑器"项目结合了Markdown的基本语法、JavaScript前端技术...
前端开源库-parcel-plugin-markdown-string
08-30
1. **Markdown语法**:了解Markdown的基本语法,如标题、列表、强调、链接、代码块等,以便正确编写Markdown字符串。 2. **Parcel工具**:理解Parcel的工作原理,包括其自动处理依赖、热模块替换(HMR)以及零配置的...
碳素云前端markdown编辑器模块
05-19
考虑到Markdown编辑器可能会处理用户输入的内容,防止XSS(跨站脚本攻击)和其他安全问题是必要的。编辑器需要对用户输入进行适当的转义和过滤,确保内容的安全性。 9. **兼容性和响应式设计** 为了确保广泛的...
vue3中使用markdown-it 突出代码块
04-25
用户提到使用markdown-it和代码块高亮插件,可能还需要高亮库如highlight.js。我需要先回忆相关配置步骤。 首先,用户可能已经知道要安装markdown-it,但需要确认安装命令是npm install markdown-it。然后,代码...
Vue.js应用代码编辑器优化:CodeMirror与SQL格式化(全面指南)
本文深入探讨了Vue.js代码编辑器的设计与实现,包括集成CodeMirror编辑器、实现SQL格式化功能、以及编辑器性能优化等关键技术点。同时,本文强调了代码编辑器安全性的重要性,并提供了增强安全性的策略和实践。文章...
vue中将markdown转换成html并渲染样式
juju的博客
02-25 2483
1.下载依赖 npm install marked 2.在需要使用的页引入 import marked from 'marked' 3.语言转换 注:这blog是转换后的html语言,而blogDetailData.content是从数据库取出来markdown文本 this.blog = marked(this.blogDetailData.content) 4.将转换后的html文本绑定在div上 注意这使用的是v-html,而不是v-text,虽然同样是绑定文本,但是v-text绑定之后
XSS 绕过常用语句
Mr.Huang_的博客
09-16 4270
XSS 绕过常用语句 写在最前面::: 下文中 alert 都可以由 prompt 代替 最常用的 XSS 漏洞测试代码: <script>prompt("XSS")</script> <SCRIPT SRC=http://damit5.ml/xss.js></SCRIPT> 在输入(Input)标签 <INPUT type="text" value='<SCRIPT>alert("XSS")</SCRIPT>'>
vue(二)-- js提交java后台,出现双引号(&quot)、单引号(&#39)、括号(&#40、&#41)出现转义问题
PUYALEI的博客
08-30 1633
双引号"变成了" 左括号变成了( 右括号变成了) 单引号变成了'
前端安全系列(一):如何防止XSS攻击?
weixin_34356138的博客
09-28 872
前端安全 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要...
Bug 记录
xrdshx的博客
09-15 628
Bug记录 CocosCreator打包出现 Error:Program type already present: android.support.v4.os.ResultReceiver$MyResultReceiver 解决方法: 在\build\jsb-link\frameworks\runtime-src\proj.android-studio\gradle.properties中加入下面两行 android.useAndroidX=true android.enableJetifier=true
vue xss 存在_给XSS加点S
weixin_36090220的博客
01-04 1131
TOC:约定本文中出现由花括号包裹的内容为服务端进行 html 字符串拼接的动态内容:{ userData },在其他文章中经常表现为 <%= userData >。本文中所使用的关键词:“用户数据”,与“非受信数据”同义。XSS 简介XSS 是一种代码注入攻击,在受害者浏览器上注入恶意代码并执行,本质是前后端渲染不受信任的用户数据导致的安全问题。不受信任的用户数据指的是由用户提供的数...
vue v-html渲染转义
weixin_44040867的博客
07-28 1784
this.acc = this.acc.replace(/&(amp|gt|lt|quot|#39|nbsp);/g, (a) => { return { "&lt;": "<", "&amp;": "&", "&quot;": '"', "&gt;": ">", "&#39;": "'", "&nbsp;": "...
关于v-html内容有 &lt 这种特殊字符的小问题
weixin_48692423的博客
09-21 631
后端返回的字符串是<p style="white-space: normal;">&gt;场次最低金额为100000Rp</p><p style="white-space: normal;"> 这种的, 把括号转成了 特殊字符, 正常情况下应该返回的是 xxxx 当时第一时间想到的是使用v-html, 最后发现 v-html 所展示的内容是 xxx 而我 实际所需要展示的内容是 xxx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值