跨站腳本攻擊（Cross-Site Scripting，XSS）是一種廣泛存在于 Web 應(yīng)用程序中的攻擊方式，它利用了 Web 應(yīng)用程序沒有正確過濾用戶輸入的漏洞，可通過 JavaScript 代碼在受害者用戶的瀏覽器上執(zhí)行腳本，以達到竊取受害者敏感信息的目的。

舉個例子：假如一個社交網(wǎng)站上的一個討論區(qū)頁面可以讓用戶編寫評論。攻擊者可以在評論內(nèi)容中嵌入 JavaScript 代碼，可以包括跳轉(zhuǎn)到惡意網(wǎng)站、儲存 cookie 信息、修改內(nèi)容展現(xiàn)等。當其他用戶在討論區(qū)查看評論時，那些惡意代碼也會執(zhí)行，可能會影響到他們的 Web 瀏覽器。

我們可以使用 JavaScript 來保護我們的網(wǎng)站以避免 XSS 攻擊。這里是幾種最好的做法：

// 1. 過濾輸入
var dirty = document.getElementById('user_input');
var clean = dirty.replace(/[^\w\s]/gi, '');
document.getElementById('output').innerHTML = clean;
// 2. 垃圾標記
var dirty = document.getElementById('user_input');
var clean = dirty.replace(/<(?:.|\n)*?>/gm, '');
document.getElementById('output').innerHTML = clean;
// 3. 轉(zhuǎn)義
var dirty = document.getElementById('user_input');
var clean = escape(dirty);
document.getElementById('output').innerHTML = clean;

而且在 HTML 中使用這些做法，你可以保護任何您網(wǎng)站上的部分代碼：

<div id="output"></div>
<textarea id="user_input"></textarea>
<script>
// Filtering
var dirty = document.getElementById('user_input');
var clean = dirty.replace(/[^\w\s]/gi, '');
document.getElementById('output').innerHTML = clean;
// Garbage-marking
var dirty = document.getElementById('user_input');
var clean = dirty.replace(/<(?:.|\n)*?>/gm, '');
document.getElementById('output').innerHTML = clean;
// Encoding
var dirty = document.getElementById('user_input');
var clean = escape(dirty);
document.getElementById('output').innerHTML = clean;
</script>

總而言之，在開發(fā)過程中防止跨站腳本攻擊是非常重要的，所以開發(fā)人員必須仔細檢查代碼，過濾輸出和轉(zhuǎn)義字符串，以確保他們的網(wǎng)站保持安全。