箫笛

摘要： 1. 不受信任的数据应当作只作为可显示的文本，而不应当是可执行代码或者HTML标记。 2. 在进入应用程序时，始终将不受信任的数据编码和分隔为带引号的字符串。 3. 使用document.createElement("..."), element.setAttribute("...","value" 阅读全文