blank的blog：http://www.planabc.net/

innerhtml 屬性的使用非常流行，因為他提供了簡單的方法完全替代一個 html 元素的內容。另外一個方法是使用 dom level 2 api（removechild, createelement, appendchild）。但很顯然，使用 innerhtml 修改 dom tree 是非常容易且有效的方法。然而，你需要知道 innerhtml 有一些自身的問題：

1. 當 html 字符串包含一個標記為 defer 的 script 標簽（<script defer>…</script>）時，如 innerhtml 屬性處理不當，在 internet explorer 上會引起腳本注入攻擊。
2. 設置 innerhtml 將會破壞現有的已注冊了事件處理函數的 html 元素，會在某些瀏覽器上引起內存泄露的潛在危險。

還有幾個其他次要的缺點，也值得一提的：

1. 你不能得到剛剛創建的元素的引用，需要你手動添加代碼才能取得那些引用（使用 dom apis）。
2. 你不能在所有瀏覽器的所有 html 元素上設置 innerhtml 屬性（比如，internet explorer 不允許你在表格的行元素上設置innerhtml 屬性）。

我更關注與使用 innerhtml 屬性相關的安全和內存問題。很顯然，這不是新問題，已經有能人圍繞這些中的某些問題想出了方法。

douglas crockford  寫了一個 清除函數 ，該函數負責中止由于 html 元素注冊事件處理函數引起的一些循環引用，并允許垃圾回收器（garbage collector）釋放與這些 html 元素關聯的內存。

從 html 字符串中移除 script 標簽并不像看上去那么容易。一個正則表達式可以達到預期效果，雖然很難知道是否覆蓋了所有的可能性。這里是我的解決方案：

/<script[^>]*>[/s/s]*?<//script[^>]*>/ig

現在，讓我們將這兩種技術結合在到一個單獨的 setinnerhtml 函數中，并將 setinnerhtml 函數綁定到 yui 的 yahoo.util.dom 上：

如果此函數還應有其他任何內容或者在正則表達式中遺漏了什么，請讓我知道。

很明顯，在網頁上還有很多其他注入惡意代碼的方法。setinnerhtml 函數僅能在所有 a-grade 瀏覽器上規格化 <script> 標簽的執行行為。如果你準備注入不能信任的 html 代碼，務必首先在服務器端過濾，已有許多庫可以做到這點。

原文：julien lecomte 的 《the problem with innerhtml》