BFE.devAI解答 - 前端面试问题
36. 什么是XSS?如何避免?

XSS（跨站脚本攻击）是一种攻击方式，攻击者通过注入恶意脚本代码，使被攻击的网站上的用户受到攻击，比如窃取用户的敏感信息、篡改网页内容等。为了避免XSS攻击，可以采取以下措施：

1. 对客户端输入进行过滤和验证，防止恶意脚本注入。
2. 对输出的特殊字符进行转义，比如<, >, & 等。
3. 使用框架提供的模板引擎，不允许直接插入文本。
4. 在 HTTP header 中添加 CSP(Content-Security-Policy) 规则，限制页面所允许执行的脚本内容。
5. 使用浏览器插件，比如 NoScript 和 AdBlock Plus，禁用非法脚本的执行。

总之，避免 XSS 攻击需要同后端、前端、服务器等多方共同努力，前端开发者需要充分了解 XSS 攻击的本质，采取相应的安全措施。