常见的做法比如在评论区插入一段 <script>alert('你被黑了')</script>，如果后台没做过滤，别人一打开这条评论，这个脚本就执行了。 XSS 防御 XSS 的本质是“用户输入能当脚本跑了”，所以关键就是输入要过滤，输出要转义。