掌握XSS的防御措施

编码：

对用户输入的数据进行HTML Entity编码

过滤：

移除用户上传的DOM属性，如onerror等

移除用户上传的Style节点、Script节点、Iframe等

校正：

避免直接对HTML Entity解码

使用DOM Parse转换，校正不匹配对的DOM标签