useHeadSafe
推荐的提供包含用户输入的 head 数据的方法。
useHeadSafe 组合函数是 useHead 组合函数的包装器,它限制了输入,只允许安全值。
使用方法
你可以传递与 useHead 相同的值
useHeadSafe({
script: [
{ id: 'xss-script', innerHTML: 'alert("xss")' }
],
meta: [
{ 'http-equiv': 'refresh', content: '0;javascript:alert(1)' }
]
})
// 将安全地生成
// <script id="xss-script"></script>
// <meta content="0;javascript:alert(1)">
类型
useHeadSafe(input: MaybeComputedRef<HeadSafe>): void
安全值的允许列表是:
export default {
htmlAttrs: ['id', 'class', 'lang', 'dir'],
bodyAttrs: ['id', 'class'],
meta: ['id', 'name', 'property', 'charset', 'content'],
noscript: ['id', 'textContent'],
script: ['id', 'type', 'textContent'],
link: ['id', 'color', 'crossorigin', 'fetchpriority', 'href', 'hreflang', 'imagesrcset', 'imagesizes', 'integrity', 'media', 'referrerpolicy', 'rel', 'sizes', 'type'],
}
查看 @unhead/schema 以获取更详细的类型。