VSCode Markdown预览器默认执行HTML/JS存在XSS等风险,strict模式可禁用script、iframe、事件处理器等;建议设"markdown.preview.security": "strict"并避免预览不可信文件。
VSCode 内置的 Markdown 预览器默认会执行部分 HTML 和 JavaScript(如内联 <script></script>、<iframe></iframe>、onxxx 事件),这在打开不受信任的 Markdown 文件时可能引发 XSS、本地文件读取、命令执行等安全风险。
预览器并非完全沙箱化,以下内容在预览时可能被解析或触发:
<script></script> 标签(含 javascript: 伪协议)<iframe src="file:///..."></iframe> 或远程 iframe(取决于 CSP 策略)<img src="x" onerror="alert(1)" alt="VSCode的内置Markdown预览器的安全风险与防范" >
url(javascript:...)(现代版本已限制,但仍需留意旧版)VSCode 提供了明确的配置项来关闭执行能力:
Angel工作室企业网站管理系统全DIV+CSS模板,中英文显示,防注入sql关键字过滤,多浏览器适应,完美兼容IE6-IE8,火狐,谷歌等符合标准的浏览器,模板样式集中在一个CSS样式中,内容与样式完全分离,方便网站设计人员开发模板与管理。系统较为安全,以设计防注入,敏感字符屏蔽。新闻,产品,单页独立关键字设计,提高搜索引擎收录。内置IIS测试,双击打启动预览网站 Angel工作室企业网站
0
settings.json 手动添加:防范不靠运气,而靠习惯:
settings.json 的 "markdown.preview.enabled": false 彻底禁用预览,改用导出为 HTML 后手动审查基本上就这些。严格模式不是功能退化,而是把“渲染”和“执行”划清界限——Markdown 应该讲清楚内容,而不是悄悄跑代码。
以上就是VSCode的内置Markdown预览器的安全风险与防范的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
588
收藏
