摘要： (1) 插值 ​ a.文本 {{ }} ​ b.纯HTML ​ v-html慎用 ，防止XSS,CSRF（ ​ (1) 前端过滤 （前端采用正则将容易注入的字符<等过滤掉） ​ (2) 后台转义( < > 换成 &lt &gt ) ​ ） <a href=javascript:location.hr 阅读全文