useHeadSafe

源文件
提供带有用户输入内容的 head 数据时的推荐方式。

使用

useHeadSafe 可组合函数是 useHead 可组合函数的包装器,它限制输入内容仅允许包含安全的值。这是处理涉及用户输入内容的 head 数据时的推荐方式,因为它通过清理潜在的危险属性来防止 XSS 攻击。

当使用 useHeadSafe 时,脚本中的 innerHTML 或 meta 标签中的 http-equiv 等潜在危险属性会被自动剔除,以防止 XSS 攻击。每当你处理用户生成的内容时,请务必使用此可组合函数。

类型

签名
export function useHeadSafe (input: MaybeComputedRef<HeadSafe>): void

允许的属性

以下属性已针对每种 head 元素类型列入白名单

const WhitelistAttributes = {
  htmlAttrs: ['class', 'style', 'lang', 'dir'],
  bodyAttrs: ['class', 'style'],
  meta: ['name', 'property', 'charset', 'content', 'media'],
  noscript: ['textContent'],
  style: ['media', 'textContent', 'nonce', 'title', 'blocking'],
  script: ['type', 'textContent', 'nonce', 'blocking'],
  link: ['color', 'crossorigin', 'fetchpriority', 'href', 'hreflang', 'imagesrcset', 'imagesizes', 'integrity', 'media', 'referrerpolicy', 'rel', 'sizes', 'type'],
}

请参阅@unhead/vue获取更详细的类型。

参数

input:一个包含 head 数据的 MaybeComputedRef<HeadSafe> 对象。你可以传入与 useHead 相同的值,但最终只有安全属性会被渲染。

返回值

此可组合函数不返回任何值。

示例

app/pages/user-profile.vue
<script setup lang="ts">
// User-generated content that might contain malicious code
const userBio = ref('<script>alert("xss")<' + '/script>')

useHeadSafe({
  title: `User Profile`,
  meta: [
    {
      name: 'description',
      content: userBio.value, // Safely sanitized
    },
  ],
})
</script>
阅读更多关于 Unhead 的文档。