XSS 原理: 往web页面恶意插入HTML或者JavaScript。 防范: 1.对用户输入和变量检查长度和过滤<、>、;、’等字符;任何内容写到页面之前必须encode。避免不小心把HTML tag弄出来。 2.避免cookie泄露