昨天，在某个论坛看到一个帖子，某个网友给论坛进行了攻击。浏览某个帖子时就会弹出"只是来测试论坛有没有做攻击防护"的调皮字样，随后该问题被修复，帖子被删。我勾起了我的好奇，我查了有关知识。

简单来说就是跨站脚本攻击，在某个输入框或者URL添加脚本代码，保存到服务器上。比如论坛，每当被攻击的帖子被浏览时，脚本就会被执行。它可能会窃取cookie数据等，造成数据泄露，服务异常等。

示例，在某个帖子下留言<script>alert('niu bi a')</script>，该帖子被浏览时，这个脚本就会被执行弹出这个文字，如果是弹出cookies等数据，那就是泄露了。

解决办法，不信任客户端输入的任何数据，对客户端输入的数据进行判断处理，Html Encode， U r l Encode等，可能会被浏览器执行的<>转换成& l t  等，让浏览器能输出，但是不能执行。

我试了自己的几个本地项目，这个问题也存在。