1基于特征的防御XSS漏洞和著名的SQL注入漏洞一样，都是利用了Web页面的编写不完善，所以每一个漏洞所利用和针对的弱点都不尽相同，这就是给XSS漏洞防御带来的困难，不可能以单一特征来概括所有XSS攻击传统的XSS防御在。

XSS注入的本质 就是 某网页中根据用户的输入， 不期待地生成了可执行的js代码， 并且js得到了浏览器的执行 意思是说， 发给浏览器的字符串中， 包含了一段非法的js代码， 而这段代码跟用户的输入有关常见的XSS注入防护。

本文介绍的规则旨在防止上行和下行XSS注入攻击防止上行注入攻击，你必须避免那些允许你关闭现有context开始新context的字符而防止攻击跳跃DOM层次级别，你必须避免所有可能关闭context的字符下行注入攻击，你必须避免任何可以用来在现有context内。

1，直接使用JS脚本 2，对JS脚本进行转码 3，利用标签的触发条件插入代码并进行转码 4，使用16进制来写可以在傲游中运行 以上写法等于。