Использование v-html (аналог innerHTML) оправдано, когда необходимо динамически вставлять в DOM заранее отформатированный HTML-контент, например, при отображении контента из CMS, который содержит теги и форматирование.

Когда хорошо:

Контент полностью контролируется и доверен (например, статический HTML, подготовленный разработчиками).
Необходимо отобразить сложную разметку, которую сложно или неудобно генерировать через шаблоны.

Когда плохо:

Если контент приходит от пользователей или из ненадёжных источников — это открывает двери для XSS-атак.
При частом обновлении контента с v-html могут возникать проблемы с производительностью и потерей реактивности.

Как быть уверенным в безопасности контента с сервера:

Сервер должен выполнять тщательную очистку (санитизацию) HTML, удаляя скрипты, инлайновые обработчики событий, опасные атрибуты.
Использовать проверенные библиотеки для санитизации (например, DOMPurify на клиенте или аналогичные на сервере).
Применять Content Security Policy (CSP) для ограничения выполнения нежелательных скриптов.

Таким образом, безопасность достигается за счёт доверия к серверу и его ответственности за очистку контента, а на клиенте — дополнительными мерами защиты.

В каких случаях использование v-html (innerHTML) хорошо, а в каких плохо? За счёт чего можно быть уверенным, что с сервера придёт безопасный контент?