kevinya

在任何被掃瞄出來有XSS風險的物件，代入類似下列語法，把惡意的字串去除掉:
這邊的情況是a.text會接收到網頁上來自使用者的輸入的任何文字，怕a.text裡面會有惡意的javascript

a.text = a.text.replace(/&/g, '&amp;').replace(/</g, '&lt;').replace(/>/g, '&gt;').replace(/\"/g, '&quot;').replace(/\'/g, '&#39;').replace(/\//g, '&#x2F;');

參考資料:
XSS prevention and .innerHTML
https://stackoverflow.com/questions/30661497/xss-prevention-and-innerhtml/30707806#30707806