原理:
往web页面恶意插入HTML或者JavaScript。
防范:
1.对用户输入和变量检查长度和过滤<、>、;、’等字符;任何内容写到页面之前必须encode。避免不小心把HTML tag弄出来。
2.避免cookie泄露
