“四大高手”为你的 Vue 应用程序保驾护航

全球都在处理数字化转型的问题,飞速发展的同时也为基础设施带来了一定的压力。同时许多黑客也在不断更新升级他们的攻击技术。

如果我们的应用程序有过多漏洞,被抓按住利用,就会变成大型芭比Q现场。

“四大高手”为你的 Vue 应用程序保驾护航_第1张图片

这也是为何现在如此多团队将安全性转向左翼,甚至将技术从 DevOps 迁移到到 DevSecOps。

所以很多开发者对于程序安全性有一定顾虑,甚至会占用一些时间专门关注安全问题,但事实上我们并不需要为了保证绝对安全性而牺牲版本的快速更迭。

本文将为大家介绍四种可以帮助我们便捷保护 Vue 应用程序的便捷方法,而且。这些方法简单易用,不会影响到我们的正常工作进程。

Vue 框架概述

Vue 是一个用于构建 Web 用户界面的渐进式框架,必须要提到的是它可以和其他框架(如 React 和 Angular)完美集成。 Vue 与其他框架相比更加专注于视图层,但明显的优点是它能高效构建单页应用程序 (SPA)。

“四大高手”为你的 Vue 应用程序保驾护航_第2张图片

而现在风头正盛的Vue 3,可以直接使用 TypeScript 编写,随着应用程序的体量逐渐变大,我们不再需要额外工具来防止潜在的运行时错误。

保护 Vue 应用程序的 4 种方法

下面是我们将为大家介绍一些攻击,通过它可以让我们了解如何保护在Vue上运行的应用程序。这些最佳实践将帮助您防止跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF) 等攻击,这些攻击可以是低调的自动攻击,也可以是高级持续威胁的一部分,用作攻击的第一步。更广泛的攻击活动。

“四大高手”为你的 Vue 应用程序保驾护航_第3张图片

1.跨站脚本(XSS)

跨站点脚本 (XSS) 攻击是一种代码注入,最常见的 XSS 攻击的手法是基于 DOM 的攻击。攻击者旨在将恶意代码注入我们网站的 DOM 元素之中,这样用户登陆网页时恶意攻击指令就会生效,例如窃取用户数据。为了防止这种意外出现,开发人员需要将以下位置中有风险的输入内容进行清理:

  • HTML(绑定内部 HTML)
  • 样式 (CSS)
  • 属性(绑定值)
  • 资源(文件内容)

不过开发者最好在数据显示在页面之前,对数据进行清理,防止用应用程序中的安全漏洞被攻击。

作为开发者,我们不能强制用户输入什么,所以需要我们对用户的输入内容进行判断、清洗,将问题内容及时"处理"。npm 上提供的vue-sanitize 库可以轻松将服务器上的用户输入值进行清理。

它通过使用一串HTML 来清理代码中出现的问题,并防止 XSS 攻击。它会删除有风险的 HTML,同时我们可以将我们需要保留的HTML内容作为白名单,自定义设置。

import VueSanitize from "vue-sanitize";
Vue.use(VueSanitize);

轻松将标签和选项列入白名单:

defaultOptions = {
    allowedTags: ['a', 'b'],
    allowedAttributes: {
        'a': ['href']
    }
}
Vue.use(VueSanitize, defaultOptions);

然后,VueSanitize 将获取用户传输的数据内容并清理——保留我们列入白名单的内容,防止代码注入和 XSS 攻击。

2.自定义库与新版本不匹配

自定义 Vue 库实在是我们开发过程中一个利器,可以按照我们的需求进行自定义内容设置,但对于一些过于依赖当前版本的自定义库而言,这么做的弊端也是显而易见的,升级更高版本,有概率会出现应用程序可能会出错的问题,但如果不选择升级, 我们可能会错过Vue一些关键的安全修复和功能。

“四大高手”为你的 Vue 应用程序保驾护航_第4张图片

修改和更新Vue 库最好的方式时通过区分享我们的需求和内容,这可以让其他开发者查看到我们的的更改,并考虑将它们添加到下一个 Vue 版本。

我们还可以在在 Vue 应用程序中使用NPM 包保持最新,这样可以确保已解决的安全问题或更新内容都一同更新了。

3. 有风险 的Vue 库

Vue一个亮点是它可以让开发人员无需编辑浏览器的 DOM 来手动渲染组件;然而,这并不意味着开发人员不需要直接访问 DOM 元素的时候,为了解决这个问题,Vue 为用户提供了一些API,例如findDOMNode和ref。

“四大高手”为你的 Vue 应用程序保驾护航_第5张图片

使用 ref来访问 DOM 元素(见下文):