xss防御

XSS防御的总体思路是:
对输入进行过滤，特殊符号必须过滤掉，单引号、双引号、尖括号之类的，
对输出进行编码过滤: 根据业务需求进行过滤，
比如输出点要求输入手机号，则只允许输入手机号格式的数字。
转义: 所有输出到前端的数据都根据输出点进行转义，
比如输出到html中进行html实体转义，输入到S里面的进行IS转义0xss之hre输出绕过: javascript:alert(1111)，直接代入a标herf里面-样可以绕过htmlspecialchars，如果没有把用户提交的交给a标签，其实很难绕过了。