文章不易,请关注公众号 毛毛虫的小小蜡笔,多多反对,谢谢。
问题
有个敌人问了个问题:
为啥vue中的v-html不会执行<script>中的js代码?
比方,给v-html赋予上面这个值,尽管看到DOM中有值,但却不会弹窗。<script>alert(/xss/)</script>
解释
可能他还不晓得,这个不是vue的限度,而是html5中的规定。
html5中为了平安起见,不会执行innerHTML中插入的<script>的代码。
所以,如果想给v-html赋值<script>的代码,尽管能看到在dom中胜利展现,但却不会执行<script>中的js代码的。
那v-html是否进攻xss攻打?
既然v-html都不会执行<script>的js代码,那是否进攻xss攻打呢?
详情 请查看:毛毛虫的小小蜡笔