XSS指利用网站漏洞从用户那里恶意盗取信息。

xss的防护措施:

下列规则旨在防止所有发生在应用程序的XSS攻击，虽然这些规则不允许任意向HTML文档放入不可信数据，不过基本上也涵盖了绝大多数常见的情况。

1、不要在允许位置插入不可信数据。

2、在向HTML元素内容插入不可信数据前对HTML解码。

3、在向HTML常见属性插入不可信数据前进行属性解码。

4、在向HTML JavaScript Data Values插入不可信数据前，进行JavaScript解码。

5、在向HTML 样式属性值插入不可信数据前，进行CSS解码。

6、在向HTML URL属性插入不可信数据前，进行URL解码。