用户在输入框中输入个js标签

或者在 src 上传图片，路径干个 alert

干扰程序，评论的时候，也干一下

1.输入过滤

对于用户提交的数据进行有效性验证，仅接受指定长度范围内并符合我们期望合适的内容提交，阻止或者忽略除此之外的其他任何数据。比如：电话号码必须是数字，而且要设置长度限制。过滤一些常见的敏感字符，例如：《》‘’ “” &#\javascript expression "onclick=" "onfocus" ; 过滤或者移除的特殊html标签，例如：<script>,<iframe>,&lt;for < &gt; for > , &quot for ; 过滤javascript事件的标签。
输出编码，当需要将一个字符串输出到web网页的时候，同时又不确定这个字符串是否包含xss特殊字符（如<> & "等），为了确保输出内容的完整性和正确性，可以使用编码（HTMLcode）进行处理

2.DOM型的xss攻击防御

把变量输出到页面的时候要做好编码转义工作，如要输出到<script>中，可以进行JS编码；要输出到html内容或者属性，则要进行html编码处理，根据不同的语境采用不同的编码处理方式。

3.httpOnly cookie

将重要的cookwebie设置为httpOnly,这样的话当浏览器向web服务器发起请求的时候就会带上cookie字段，但是在脚本中却不能访问cookie，这样就避免了xss攻击利用javascript的document。cookie来获取cookie.