这次你将看到escape用户输入的任何HTML是多么重要

假设博客上有一个comment表单，我们输入如下内容:

Testing <script>alert('test')</script>

提交我们的comment，如果浏览器弹出alert框，说明该博客没有对用户输入的comment进行escape

Hacker可以利用这个弱点来做CSS攻击:

Got your cookies! <script>alert(document.cookie)</script>

用户在comment表单填入上面内容，这样站点的cookie就暴露无疑了，这是非常危险的。

有两种解决方案:
1)在显示用户输入的内容时escape一下

<%= h(comment.content) %>

2)把用户输入的内容存入数据库前就escape

CGI::escapeHTML(...)

一般来说使用第一种方法即可。