ajaxfileupload造成的xss漏洞

介绍下背景：

用的百度编辑器，准备将<script></script>传给后台，但因为同时有文件需要传，所以用的ajaxfileupload.

经过ajaxfileupload时，$('<input type="hidden" name="' + i + '" value="' + data[i] + '"/>').appendTo(form); 

这一步会将原本编码的数据去掉编码，于是传给后台的变成了<script></script>

经测试，只有 value="' + data[i]这种方式会去掉编码，而$(input)[0].value=data[i]则不会。

所以应该把$('<input type="hidden" name="' + i + '" value="' + data[i] + '"/>')改成$('<input type="hidden" name="' + i + '"/>').val(data[i])