如果有人在消息里面输入下面这些信息会很有意思：

<img src='../content/emoji/22.gif' onload='alert("你们被我的XSS攻击！哈哈哈哈")' />这是一个攻击的消息！

建议作者把信息转义一下，直接innerHTML消息出来非常不安全