如何动态地插入可能包含链接和脚本标签的html

我认为你应该使用iframe来显示你的邮件内容。这样你就可以依靠浏览器的安全功能，减少XSS漏洞。

发送HTML内容的服务应该剥离脚本标签，并设置content-security-policy头以禁用内联脚本。

即使您希望允许在邮件中执行脚本(我不假设)，iframe也比将邮件内容注入您自己的DOM中提供更好的隔离。

您真的应该拒绝脚本。

注意:你的问题不是代码问题。在我看来，不应该在这里张贴。

iFrame提供了很少的隔离-至少它隔离了css样式…- - - - - -。XSS可以在没有script的情况下发生。另外，script在客户端执行。它能做什么，可能是显示色情，或不公平的东西，或窃取本地信息?本地存储?显示html对您的系统来说真的没有什么危险。XSS工作在表单中，表单是有针对性的，背后有数据库进程。但是如果你只显示html，天哪，你可以保持凉爽。删除脚本，因为没有理由在邮件中有脚本

没有必要感到害怕，因为任何人都在谈论SQL注入， XSS等等。说没有表单，没有ajax，在你的情况下，这是荒谬的，抱歉，回答有风险。在显示HTML时没有什么好担心的。省时省力