《WEB安全渗透测试》(19)Vue.js中的XSS攻击

《WEB安全渗透测试》(19)Vue.js中的XSS攻击《WEB安全渗透测试》(19)Vue.js中的XSS攻击1.前言Vue是一套用于构建用户界面的渐进式JavaScript框架,与其它大型框架不同的是,Vue被设计为可以自底向上逐层应用。它的核心库只关注视图层,不仅易于上手,还便于与第三方库或既有项目整合;另一方面,当与现代化的工具链以及各种支持类库结合使用时,Vue也完全能够为复杂的单页应用(SPA)提供驱动。Vue当下很火,但是鲜有人知Vue写法不当,很容易出现XSS漏洞。2.Vue漏洞复现…

大家好,欢迎来到IT知识分享网。《WEB安全渗透测试》(19)Vue.js中的XSS攻击"

1.前言

Vue是一套用于构建用户界面的渐进式JavaScript框架,与其它大型框架不同的是,Vue 被设计为可以自底向上逐层应用。它的核心库只关注视图层,不仅易于上手,还便于与第三方库或既有项目整合;另一方面,当与现代化的工具链以及各种支持类库结合使用时,Vue 也完全能够为复杂的单页应用(SPA)提供驱动。

Vue当下很火,但是鲜有人知Vue写法不当,很容易出现XSS漏洞。

2.Vue漏洞复现

Vue.js中数据绑定最常见的形式就是使用“Mustache”语法 (双大括号) 的文本插值:{
{ message }},但是双大括号会将数据解释为普通文本,而非 HTML 代码,有的时候需要输出真正的 HTML,就需要使用 v-html 指令。

如下代码:

<!DOCTYPE html>
<html>
<head> 
	<meta charset="utf-8"> 
	<title>index</title>
	<script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.js"></script>
</head>
<body>
<div id="app">
	{
  
  
  { message }}
	<hr>
	<span v-html="attack"></span>
</div>

<

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/22998.html

(0)
上一篇 2023-12-16 11:00
下一篇 2023-12-20 21:33

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信