DOM 上的 XSS 攻击

HTML 跨站脚本攻击 (XSS) 是一种利用网站漏洞，将恶意脚本插入到网页中，然后让用户在浏览网页时执行恶意代码。

随意执行脚本

随意给a标签的 href 属性赋值

<a href="javascript:alert(1)">1111</a>

建议赋值之前对协议、域名进行校验和过滤，类似 element-plus中的 el-link 的安全警告：https://element-plus.org/zh-CN/component/link

建议使用

随意插入DOM

比如把一些接口获取的，或者用户输入的直接插入DOM中，比如

<div>{{data}}</div>

建议使用 escape-html 进行转义