p2world

摘要： xss 为什么不能阻止用户输入不安全数据 比如用户想发一篇标题的文章 为什么不在数据库存的时候就处理好或者接口里处理好 `1 text alert(1); 这样就被注入了一段代码，然后浏览器诚实的 了它 解决办法 将用户数据转义为 浏览器当做 显示而不是 它 将上例模板改成： 上例中用的是`< 阅读全文