原理
　　由于程序沒(méi)有對(duì)用戶提交的變量中的HTML代碼進(jìn)行過(guò)濾或轉(zhuǎn)換，使得腳本可被執(zhí)行，攻擊者可以利用用戶和服務(wù)器之間的信任關(guān)系實(shí)現(xiàn)惡意攻擊
　　危害
　　敏感信息泄露、賬號(hào)劫持、Cookie欺騙、拒絕服務(wù)、釣魚(yú)等
　　防范
　　不允許HTML中腳本運(yùn)行
　　對(duì)所有腳本進(jìn)行嚴(yán)格過(guò)濾