原理
　　由于程序沒有對用戶提交的變量中的HTML代碼進(jìn)行過濾或轉(zhuǎn)換，使得腳本可被執(zhí)行，攻擊者可以利用用戶和服務(wù)器之間的信任關(guān)系實(shí)現(xiàn)惡意攻擊
　　危害
　　敏感信息泄露、賬號劫持、Cookie欺騙、拒絕服務(wù)、釣魚等
　　防范
　　不允許HTML中腳本運(yùn)行
　　對所有腳本進(jìn)行嚴(yán)格過濾