V-html 只用于文本，安全吗? [英] V-html only use for text, is it safe?

问题描述

我现在处于 Vue Documenteation about Raw HTML 状态我们可以使用 v-html 来渲染一些内部的 html.我承认这是合法且最简单的技巧，但由于我非常担心，我无法停止思考是否可以在网络项目中安全地使用它.假设我使用这个 v-html 仅用于渲染一些 html 标签，例如 br、span 等.

但在文档中他们清楚地说明如下:

<块引用>

在您的网站上动态呈现任意 HTML 可能非常危险，因为它很容易导致XSS 漏洞.只使用可信内容上的 HTML 插值，而不是用户提供的内容内容.

如果我使用 v-html 仅用于 vue 组件中的文本渲染，例如此代码并且没有 input 标记，那么 XSS 漏洞是否安全code> 攻击或 Cross-site Scripting: