问如何防止javascript在附加到url后执行？

EN

本质上，为了防止XSS，必须对字符串进行转义。一个不错的指南是：

https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

您没有提到您使用的是哪种服务器和/或客户端框架。但从本质上讲，您必须转义用户提供给您的字符串，以便对<、> &和其他可能将代码注入到html中的危险字符进行编码。大多数web框架都有这个功能。在java中，使用owasp-esapi-java，它是：

String safe = ESAPI.encoder().encodeForHTML( request.getParameter( "input" ) );

你可以在html中输出safe。希望这能有所帮助。如果您正在使用特定的框架(rails、play、django、struts、jsp等)，请询问另一个关于该框架的XSS预防的问题。

您必须确定从外部接收的内容类型，并在将其发送到任何浏览器之前对其进行适当处理。

如果你认为它是文本，那么：

• 如果它是作为HTML中的文本的一部分输出的，您至少应该适当地转义<和&，方法是用正确的HTML实体替换所有必要的内容
• 如果它是作为HTML中的属性的一部分输出的，这一点同样适用，至少还有"和

如果您认为它是超文本标记语言，那么您需要选择接受哪些元素(例如<b>、<i>等)，并过滤掉任何其他元素。

如何做到这一点取决于您使用的语言/框架。