针对链接中的代码注入: 如果不是以http或者https开始,则自动增加http,这样如果用户写的是javascript伪协议就无法执行;如果是http或者https开始则没有问题; 针对转义字符和&#nn;形式的直接字符: 将&替换为&就可以破坏其语义了; 针对可视化编辑器中的脚本注入: 在服务器端使用正则表达式将script标记过滤掉;在服务器端将on开始的属性过滤掉; 更多的方式欢迎大家补充。。。