普通xss 攻击,通过html 转意就可以很好地解决 但是富文本编辑器,本身就是允许输入html 标签的,不能转义 需要引入第三方防止xss的包来处理,对文章内html 进行处 参考文章:http://jsxss.com/zh/starter/quickstart.html