防御XSS innerText

防御:(好多种情况,这里只说最简单的)

其恶意脚本都是来自用户的输入。因此,可以使用过滤用户输入的方法对恶意脚本进行过滤。

1、获取用户输入,不用.innerHTML,用innerText。

2、对用户输入进行过滤,如 HTMLEncode 函数实现应该至少进行 & < > " ' / 等符号转义成 &amp &lt &gt &quot &#x27 &#x2F;