快速对字符转义，避免跨站攻击XSS

    XSS已经成为非常流行的网站攻击方式，为了安全起见，尽量避免用户的输入。可是有些情况下不仅不避免，反而要求鼓励输入，比如写博客。博客园开放性很高，可以运行手写的JS。之前比较著名的例子就是，凡是看到某一篇文章的，都自动关注他。

    如果避免跨站攻击的话，我们就得对用户的输入，进行转义。例如<script type='text/javascript'>alert('hello world')</script>。如果直接保存这个字符串的话，然后再输出的话，就会运行JS了。我们需要将这个字符串转义成"&lt;script type='text/javascript'&gt;alert('hello world')&lt;/script&gt;"。

    转义，就是一个个字符的匹配，然后转换。看着不难，但是需要转义的字符也不少。另外当字符数量大的时候，效率成为一个问题。下面我写一个函数，让浏览器底层帮我们做到。

 

 function stringEncode(str){
        var div=document.createElement('div');
        if(div.innerText){
            div.innerText=str;
        }else{
            div.textContent=str;//Support firefox
        }
        return div.innerHTML;
   }