Vue 中 v-html 仅渲染静态 HTML,不编译模板语法、不执行脚本;动态交互应使用组件化方案(如 defineAsyncComponent、h() 函数或 SSR)。
Vue 项目中不能直接用 v-html 渲染任意 HTML 字符串来执行脚本或挂载组件,这是 Vue 的安全机制决定的 —— 它只解析 DOM 结构,不编译模板语法,也不执行内联 。
用 v-html 安全地插入静态 HTML 片段
这是最常用、也最受限的方式。适用于已知内容可信、仅需渲染结构(如富文本编辑器输出、CMS 后台生成的纯展示 HTML)的场景。
-
v-html会完全替换元素的innerHTML,不会触发 Vue 模板编译,所以{{ }}、v-if、@click等全部失效 - 若 HTML 中含
标签,浏览器默认不会执行;即使手动插入,也会被 Vue 的 patch 过程剥离或忽略 - 必须确保内容来源可信,否则存在 XSS 风险;建议服务端做白名单过滤(如只允许
、等)
在 Vue 组件中动态挂载其他组件(替代“生成 HTML”)
当需要“生成带响应式逻辑的 HTML”,本质是动态创建组件实例,而非拼接字符串。这是更 Vue 的做法。
立即学习“前端免费学习笔记(深入)”;
- 使用
createApp+mount可在运行时创建独立应用实例,但通常用于微前端或弹窗等隔离场景 - 更常见的是用
defineAsyncComponent或component :is动态切换组件,配合props传入数据驱动渲染 - 若需把 HTML 字符串转为可响应的 Vue 节点,必须走
render函数或h(),不能靠字符串解析
import { h, createApp } from 'vue'
// 示例:用 h() 构造 vnode,再渲染
export default {
render() {
return h('div', [
h('p', 'Dynamic content'),
h('button', { onClick: () => alert('clicked') }, 'Click me')
])
}
}
服务端预渲染 HTML(SSR)或静态生成(SSG)时嵌入 HTML
如果 HTML 内容在构建时就确定,且需 SEO 或首屏性能,应交由服务端或构建工具处理,而不是客户端拼接。
- Vite +
vite-plugin-ssg或 Nuxt 可将 Markdown/HTML 模板在构建时生成静态 HTML 文件 - 在
index.html中通过(EJS)、{{ htmlContent }}(Nunjucks)等模板语法注入,但注意转义 - Vue 的
ssrRenderToStringAPI 可在 Node.js 环境中将组件渲染为 HTML 字符串,适合定制 SSR 逻辑
绕过限制强行执行内联脚本?不推荐,且基本无效
有人尝试用 eval()、setTimeout 延迟执行 script 标签内容,或用 document.createElement('script') 插入 —— 这些在 Vue 管理的 DOM 区域里几乎都会失败。
- Vue 的 diff 算法会丢弃非 vnode 创建的节点,包括手动插入的
- 即使插入成功,脚本作用域也不在当前组件实例内,无法访问
this、ref、computed等 - 现代浏览器对动态 script 执行有 CSP 限制,生产环境大概率被拦截
真正需要交互逻辑,就该写成 Vue 组件,而不是塞进 HTML 字符串里。
