如何安全地在 Vue 中使用 v-html 防止 XSS 攻击？

1. 理解 v-html 的本质与风险

v-html 是 Vue 提供的指令，用于将字符串作为 HTML 插入到元素中。与双大括号插值 {{ }} 不同，后者仅解析为纯文本，而 v-html 会直接渲染 HTML 标签。

例如：

<div v-html="userContent"></div>

若 userContent 包含如下内容：

"<script>alert('XSS')</script>"

浏览器将执行脚本，造成 XSS 攻击。因此，任何来自用户输入、API 接口或第三方来源的内容都不应直接用于 v-html。

2. 基础防护：优先使用文本插值

大多数场景下，展示富文本并非必须。可优先采用文本插值方式避免 HTML 解析：

3. 中级方案：客户端 HTML 净化（DOMPurify）

当确实需要渲染富文本（如 CMS 内容、Markdown 转 HTML），推荐使用 DOMPurify 对 HTML 字符串进行消毒。

安装 DOMPurify：

npm install dompurify

在 Vue 组件中使用：

import DOMPurify from 'dompurify';

export default {
  computed: {
    cleanHTML() {
      return DOMPurify.sanitize(this.userContent);
    }
  }
}

模板中调用：

<div v-html="cleanHTML"></div>

DOMPurify 默认移除所有脚本标签、事件处理器（如 onclick）、data URLs 等危险内容，支持自定义白名单策略。

4. 高级策略：服务端输入验证与输出编码

XSS 防护不应仅依赖前端。纵深防御要求在服务端对用户输入进行严格校验：

• 使用白名单机制限制允许的 HTML 标签（如 p, strong, em, a）
• 对属性进行过滤（如只允许 href 在 a 标签中）
• 输出时根据上下文进行编码（HTML 实体编码、JS 编码等）
• 结合 CSP（Content Security Policy）限制脚本执行源

示例 Node.js 后端使用 sanitize-html 库：

const sanitizeHtml = require('sanitize-html');

const clean = sanitizeHtml(dirtyInput, {
  allowedTags: ['p', 'strong', 'em', 'a'],
  allowedAttributes: { 'a': ['href'] }
});

5. 深度防御架构设计流程图

以下为完整的 XSS 防护流程：

graph TD
    A[用户输入] --> B{是否可信?}
    B -- 否 --> C[前端: 拒绝 v-html 或预净化]
    B -- 是 --> D[服务端: 输入验证 + 白名单过滤]
    D --> E[存储至数据库]
    E --> F[响应输出前: HTML 编码]
    F --> G[前端: 使用 DOMPurify 再次净化]
    G --> H[v-html 渲染]
    H --> I[浏览器执行]
    style C fill:#f96,stroke:#333
    style H fill:#bbf,stroke:#333
    

6. 替代方案与最佳实践建议

考虑以下替代或增强方案：

1. 使用 Markdown 渲染代替原始 HTML 输入（通过 marked 或 showdown）
2. 引入 WYSIWYG 编辑器（如 TinyMCE、Quill）并配置安全模式
3. 设置 CSP 头部：Content-Security-Policy: default-src 'self'; script-src 'self'
4. 定期审计依赖库的安全性（如 DOMPurify 是否最新）
5. 对管理后台内容启用人工审核机制
6. 日志记录可疑输入行为，建立异常检测系统
7. 使用 Vue 的自定义指令封装安全 v-html 行为
8. 在 CI/CD 流程中集成安全扫描工具（如 Snyk、OWASP ZAP）
9. 教育团队成员理解 XSS 原理与防御手段
10. 建立安全响应机制应对潜在漏洞披露