前端开发之安全防范 XSS 攻击者想尽一切办法将可以执行的代码注入到网页中。 类型:持久型和非持久型 持久型也就是攻击的代码被服务端写入进数据库中,这种攻击危害性很大,因为如果网站访问量很大的话,就会导致大量正常访问页面的用户都受到攻击。 一般通过修改 URL 参数的方式加入攻击代码,诱导用户访问链接从而进行攻击。 防御方式 转义字符 转义输入输出的内容,对于引号、尖括号、斜杠进行转义 function escape(str) { str = str.replace(/&/g, '&') str = str.replace(/</g, '<') str