javascript 过滤字符串中script并且替换掉 xss注入攻击+js调试

最近发现网上找答案也是80%类似结果。js调试可以在浏览器里，f10,f11可以比较准确。

function scriptReplace(str) {
        if (new RegExp(".*?script[^>]*?.*?(<\/.*?script.*?>)*", "ig").test(str)) {//包含
            var str1 = str.replace('script', '</*script*/>');//替换的内容
             return str1
        }else{
            return str
        }
    }