xss攻击 解决方案与建议: 严格过滤用户所能提交的任何数据,特别是能执行javascript代码的相关字符,最好全部转化为实体引用的形式。 在HtmlEncode中要求至少转换一下字符: & ----> &< ----> <> ----> >“ ----> "‘ ----> ' 设置httpOnly以防止cookie被窃取。 可使用htmlspecialchars()来过滤。