摘要：当直接将用户输入的字符串变量解析到浏览器上时，会有模板注入风险 document.write(`<script>alert("")<\/script>`) 由标签模板进行字符串替换,避免模板注入 function safeHtml(data, v1) { console.log(arguments) 阅读全文