在Vue3中安全地顯示Markdown為HTML

Question

所以我有一組字串，其中有一些我創建的「自訂降價」。我的目的是在前端將這些字串呈現為 HTML。假設我有這個字串：

This is a string <color>that I need</color> tonrender <caution>safely in the browser</caution>. This is some trailing text

我希望得到類似的東西：

This is a string <span class="primaryColor">that I need</span> to<br>render <div class="caution">safely in the browser</div>. This is some trailing text

我現在的做法是使用一些基本的正規表示式：

toHtml = text
    .replace(/<color>(.*)</color>/gim, "<span class='primaryColor'></span>")
    .replace(/\n/g, "<br>")
    .replace(/<caution>(.*)</caution>/gims, "<div class='caution'></div>")

這工作正常並傳回正確的字串。然後進行列印，在模板中我只需：

<div id="container" v-html="result"></div>

我的問題是，在某些時候我希望使用者能夠自己輸入這些字串，而這也會顯示給其他使用者。所以可以肯定的是，我很容易受到 XSS 攻擊。

有什麼替代方法可以避免這種情況嗎？我一直在查看https://github.com/Vannsl/vue-3-sanitize，這看起來是允許我正在使用的div、span 和br 標籤的好方法，並設定所有標籤的屬性僅允許為class。這樣夠安全嗎？我還應該做些什麼嗎？

這樣的話，我相信也沒有必要在後端對其進行清理，對吧？也就是說，即使伺服器中的字串包含 ，Web 瀏覽器也無法執行惡意程式碼，對嗎？

Answer 1

我的問題是，在某些時候我希望使用者能夠自己輸入這些字串

那麼，我們是否有一個表單輸入供用戶輸入您在帖子中提到的字串？如果是，我的建議是您可以在傳遞到後端之前先清理使用者輸入。因此後端本身不應儲存惡意程式碼。

因此，透過使用 string.replace() 方法。您可以先替換 ex 的惡意標籤。從輸入字串中提取

• 首頁

• 課程

• 問答

• 我的

• 首頁
• 課程
• 文章
• 問答
• 詞典
• 手册
• 下載
• 專題

首頁

文章

問答

課程

專題

下載

遊戲

詞典

简体中文（ZH-CN）English（EN）繁体中文（ZH-TW）日本語（JA）한국어（KO）Melayu（MS）Français（FR）Deutsch（DE）