文章不易,请关注公众号 毛毛虫的小小蜡笔,多多反对,谢谢。
问题
有个敌人问了个问题:
为啥 vue 中的 v -html 不会执行 <script> 中的 js 代码?
比方,给 v -html 赋予上面这个值,尽管看到 DOM 中有值,但却不会弹窗。<script>alert(/xss/)</script>
解释
可能他还不晓得,这个不是 vue 的限度,而是 html5 中的规定。
html5 中为了平安起见,不会执行 innerHTML 中插入的 <script> 的代码。
所以,如果想给 v -html 赋值 <script> 的代码,尽管能看到在 dom 中胜利展现,但却不会执行 <script> 中的 js 代码的。
那 v -html 是否进攻 xss 攻打?
既然 v -html 都不会执行 <script> 的 js 代码,那是否进攻 xss 攻打呢?
详情 请查看:毛毛虫的小小蜡笔