优先用 innerHTML 填充，但需防范 XSS；纯文本用 textContent；结构化内容用 createElement + appendChild；大批量用 DocumentFragment；追加内容用 insertAdjacentHTML。

直接用 innerHTML 填充最常用，但要注意 XSS 风险

绝大多数时候，你想往一个 里塞文字或 HTML 片段，innerHTML 是最快路径。但它会把字符串当作 HTML 解析执行，如果内容来自用户输入或外部 API，可能触发脚本注入。

• 安全场景（如后台生成的静态文案）：

  document.getElementById('container').innerHTML = '已加载';

• 不安全场景（如显示评论）：必须先转义 HTML 特殊字符，或改用 textContent
• 若只填纯文本，优先用 textContent——它不解析标签，天然防 XSS

动态插入结构化内容时，createElement + appendChild 更可控

当你需要创建带 class、事件监听器、或嵌套层级的元素（比如列表项），拼接字符串再赋给 innerHTML 容易出错且难维护。

• 避免这样写：

  el.innerHTML += '
  ' + data.title + '
  ';

• 推荐这样构造：

  const li = document.createElement('li');
  li.className = 'item';
  li.textContent = data.title;
  li.addEventListener('click', doSomething);
  document.getElementById('list').appendChild(li);

• 优势：属性和事件可编程控制；不会意外覆盖已有子节点；利于后续 DOM 操作（如 remove、replace）

批量填充大量数据？别用多次 appendChild，改用 DocumentFragment

循环 100 次调用 appendChild 会触发 100 次重排（reflow），性能明显下降。浏览器对频繁 DOM 修改很敏感。

• 低效写法：

  for (const item of items) {
    const li = document.createElement('li');
    li.textContent = item;
    list.appendChild(li); // 每次都触发 layout 计算
  }

• 高效写法：

  const frag = document.createDocumentFragment();
  for (const item of items) {
    const li = document.createElement('li');
    li.textContent = item;
    frag.appendChild(li);
  }
  list.appendChild(frag); // 仅一次真实 DOM 插入

• DocumentFragment 是离线容器，不挂载到文档，操作它不触发渲染

用 insertAdjacentHTML 精确控制插入位置，比 innerHTML += 可靠

很多人想“在末尾追加”，就写 el.innerHTML += '

new

• 错误示范：

  container.innerHTML += '
  新增一行
  '; // 重绘全部子节点

• 正确替代：

  container.insertAdjacentHTML('beforeend', '
  新增一行
  '); // 只加在末尾，不影响已有节点

• 四个可选位置：'beforebegin'、'afterbegin'、'beforeend'、'afterend'，语义清晰
• 注意：它仍存在 XSS 风险，内容不可信时需先过滤或转义