是否有javascript库可用于过滤XSS攻击的字符串？

是否有类似HTMLPurifier的Javascript库，可以从字符串中删除XSS代码？

一般来说，当Javascript代码运行时，保护自己免受XSS攻击为时已晚。您需要在服务器而不是客户端进行保护。

project应该可以帮助您。

严格来说，这并不是真的：可能有一种情况，ajax应用程序接受来自textarea的输入并将内容注入DOM，在这种情况下，你肯定想把它消毒。这是一个很好的经验法则，让服务器严格分析每个用户输入，以确保在深层次上防止攻击。@ Jed，那里的攻击向量是什么，其他用户攻击自己。我不认为这有什么安全问题。好吧，我想防止意外的脚本/标记注入可能是一件好事。@Jed，这可以通过添加文本节点而不是操纵innerHTML来避免