vue内置指令 v-html指令

本文介绍了Cookie的工作原理及其在网站认证中的应用,探讨了如何利用Cookie实现用户免登录功能,并讨论了Cookie与浏览器之间的交互过程。此外还分析了v-html的安全风险及XSS攻击的可能性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

要点:

 

v-html 可以解析字符串里面

cookie的知识:

举一个小案例,比如要登陆GitHub,登陆时,要输入账户和密码,然后在登录后的界面中点击一个按钮跳转到我的仓库,而这一步是不需要使用账户和密码再登录一遍的,这边就可以用到cookie来实现.

再比如说,一些像b站 淘宝,当你登录了一次后会有期限内的用户免登录,这也是通过cookie做到的

 

cookie原理图:

.页面输入了正确的密码和账户,发给GitHub后端服务器,后端服务器验证正确,并返回给前端浏览器

cookie,浏览器把对应网站返回的cookie,收集起来建立一个小缓存,如图每个网站都会有对应收集的cookie值,被存放再在浏览器上, 当登录成功后点击我的仓库,则浏览器把对应网站的cookie传给后端服务器.服务器进行验证,验证对应cookie正确,则返回我仓库的数据,并且可能还会返回一个cookie,

注:

cookie是字符串

这边是chrome浏览器

我们平时也发现,当我们用两个浏览器登陆淘宝时i,当一个浏览器登录了,但另外一个浏览器没有登录,这是cookie不能跨浏览器传送

验证:

当用chrome浏览器登录了GitHub时

它的服务器就把cookie发给浏览器了

 

再登录火狐浏览器的GitHub发现没有登录

则cookie不能跨浏览器读取 

但只要把chrome得到的cookie,一条条加在火狐浏览器上,则也实现了登录的效果

这边我们使用了cookie的工具插件cookie-editor

它可以把所有的cookie同时导入,或者导出

当把输入导入到火狐浏览器时,按刷新

cookie很重要

自己随便写点   cookie

然后可以用js拿到这些cookie 

因为当用v-html时,它可以解析字符串

下图这样写就是把对应加入div中 

效果如图

 不安全

上图个i地址加的参数就你前面自己加的敏感数据

但是一般直接用document拿cookie,服务器都会进行一些处理,只会读到一些

因为HTTPonly只能http协议能去读取,能去携带

 

当全部勾选上时,document啥也读不到了

所以v-html 有不安全性,毕竟直接把一段字符串解析出来使用就是不安全的

总结

 xss攻击 即冒充用户登录

 

 

 

 

 

 

 

 

 

 

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值