如何防御 XSS 攻击 过滤转义:数据库或前端对敏感字符进行过滤或转义,比如 < 和 > 转义成 < 和 > CSP:开启 CSP,限制外部资源的加载和内联脚本的执行 敏感信息:限制敏感信息的获取方式,比如 cookie 使用 http-only,使得脚本无法获取