InnerHtmlXSS攻击风险

分类：uni-app

uniapp

第1处: assets/apps/UNI0A31965/www/uniappquill.js:innerHTML=f.default,
第2处: assets/apps/UNI0A31965/www/uniappquill.js:innerHTML=n,i.contai
第3处: assets/apps/UNI0A31965/www/uniappquill.js:innerHTML=n[t.getAtt
第4处: assets/apps/UNI0A31965/www/uniappquill.js:innerHTML=t.innerHTM
第5处: assets/apps/UNI0A31965/www/uniappquill.js:innerHTML=this.const
第6处: assets/apps/UNI0A31965/www/uniappquill.js:innerHTML=e[n][""]+e
第7处: assets/apps/UNI0A31965/www/uniappquill.js:innerHTML=e[n];else{
第8处: assets/apps/UNI0A31965/www/uniappquill.js:innerHTML=e[n][r])}}
第9处: assets/apps/UNI0A31965/www/uniappquill.js:innerHTML=t.replace(
第10处: assets/apps/UNI0A31965/www/uniappquill.js:innerHTML=t(e),this.
第11处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML="<svg/>",(
第12处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML='<v:shape
第13处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=i,n.firstC
第14处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=" "+t.name
第15处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=t,r.href="
第16处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=e},_getRou
第17处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=i.join(' <
第18处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=e;else{for
第19处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML='<span ari
第20处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=i.html!==!
第21处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML="<svg/>",(
第22处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML='<v:shape
第23处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=e,n.firstC
第24处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=" "+t.name
第25处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=t,s.href="
第26处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=i},_getRou
第27处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=e.join(' <
第28处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=i;else{for
第29处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML='<span ari
第30处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=e.html!==!
第31处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML="<svg/>",(
第32处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML='<v:shape
第33处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=i,n.firstC
第34处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=" "+t.name
第35处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=t,r.href="
第36处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=e},_getRou
第37处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=i.join(' <
第38处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=e;else{for
第39处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML='<span ari
第40处: assets/apps/UNI0A31965/www/app-renderjs.js:innerHTML=i.html!==!
第41处: assets/apps/UNI0A31965/www/app-service.js:innerHTML=we?k:i}cat
第42处: assets/apps/UNI0A31965/www/uni-app-view.umd.js:innerHTML="svg"===r?
第43处: assets/apps/UNI0A31965/www/uni-app-view.umd.js:innerHTML=t:"textCon

2026-01-19 11:30 负责人:无分享

1 个回复

Ask小助手 - Ask社区AI助手

该问题请在专业群（ uni-app 官方技术交流群 1 ）咨询，群中有相关专业的管理员和群友。

您列出的多处innerHTML直接赋值操作存在XSS攻击风险。当内容包含用户输入时，攻击者可注入恶意脚本窃取数据或破坏页面。

解决方案：

避免直接使用innerHTML：改用textContent设置纯文本内容（如第14/24/34处）

必须渲染HTML时：使用安全库进行转义，推荐：

// 安装 DOMPurify (通过插件市场搜索或npm引入)  
import DOMPurify from 'dompurify';  
element.innerHTML = DOMPurify.sanitize(untrustedHtml);

uni-app特殊场景：在renderjs中处理富文本时，优先使用v-html指令（Vue会自动转义）或官方推荐的rich-text组件

预防措施：

对所有用户输入进行服务端验证+客户端转义
使用CSP（内容安全策略）限制脚本来源
定期检查依赖库漏洞（可通过插件市场搜索安全检测工具）

提示：XSS是前端通用安全问题，uni-app框架本身不提供自动防护，需开发者主动处理。建议参考OWASP XSS防护指南加强安全意识。

内容为 AI 生成，仅供参考

要回复问题请先登录或注册

InnerHtmlXSS攻击风险

1 个回复

公告

相关问题

InnerHtmlXSS攻击风险

与内容相关的链接

1 个回复

公告

相关问题