问如何防止javascript在附加到url后执行？

EN

本质上，为了防止XSS，必须对字符串进行转义。一个不错的指南是：

https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

您没有提到您使用的是哪种服务器和/或客户端框架。但从本质上讲，您必须转义用户提供给您的字符串，以便对<、> &和其他可能将代码注入到html中的危险字符进行编码。大多数web框架都有这个功能。在java中，使用owasp-esapi-java，它是：

String safe = ESAPI.encoder().encodeForHTML( request.getParameter( "input" ) );

你可以在html中输出safe。希望这能有所帮助。如果您正在使用特定的框架(rails、play、django、struts、jsp等)，请询问另一个关于该框架的XSS预防的问题。