vue セキュリティ　バックエンドからのHTML出力　安全性について

サーバーサイドから送られてくるJSON（HTMLの記述）をそのままサイト内の一部にレンダリングしたいです。
サーバーサイドから送られるHTMLコードは、管理ページで管理者が記述しており、ユーザーやその他部外者が入力するものではありません。

VUEのセキュリティに関するページでは

HTML の挿入

前述の通り、Vue では HTML コンテンツを自動でエスケープ処理し、誤って実行可能な HTML をアプリケーション内に挿入することを防いでいます。
ただし、HTML が安全なことが事前にわかっている場合は明示的にそれをレンダリングすることが可能です:

との記載がありました。
https://jp.vuejs.org/v2/guide/security.html#HTML-%E3%81%AE%E6%8C%BF%E5%85%A5

安全なことがわかっている場合とは、前述した「HTMLコードは、管理ページで管理者が記述しており、ユーザーやその他部外者が入力するものではありません。」と言う部分で安全であると判断して問題ないでしょうか？なにを持ってして安全と判断できるでしょうか...？

例えば、サーバーサイドから送られるJSONには悪意の無いHTMLコードが描かれいているとして、
フロント側に届くまでに改竄されると言うことがあり得ますか？無いです...よね...？

管理下にあるバックエンドからのHTMLコードJSONをHTMLとしてそのままレンダリングすることが
セキュリティ的に、厳しめに判断して、問題があるかどうかお伺いをしたいです！
何卒よろしくお願いいたします。

hentaiman

2021/03/21 12:33

逆に質問ですが、vueを通してレンダリングしたくない理由はありますか？

Yusuke_m25

2021/03/24 13:37

投稿ありがとうございます！！ vueを通してレンダリングしたく無い理由は全くありませんただvueを通してレンダリングするには、レンダリングするHTMLが「安全であると事前に分かっている」必要があると記されており、　「安全である」ってどのレベルでだろう？と思ったのが質問のきっかけでした。

hentaiman

2021/03/24 14:40

> 「安全である」ってどのレベルでだろう？どんな値が入っているか全て把握出来ていて確実に問題が無いと分かっている場合ですね。Yusuke_m25さん以外がデータを操作できる環境がある場合はその時点で100%安全とは言えませんね。で、例えばテンプレートエンジンでも変数は勝手にエスケープされて出力されますけど、（安全だと確定済みで）手間が掛かるだとか、特にエスケープされるとテンプレート側で実施したい処理が出来ないなどの理由が無い限りはエスケープしたまま使います。 vueは分からないけど、上と同じ理由でエスケープしたくない強い理由が無ければ通常は生での出力はしません。