XSS 攻击是页面被注入了恶意的代码
通常页面中包含的用户输入内容都在固定的容器或者属性内，以文本的形式展示。 

攻击者利用这些页面的用户输入片段，拼接特殊格式的字符串，突破原有位置的限制，形成了代码片段。 

攻击者通过在目标网站上注入脚本，使之在用户的浏览器上运行，从而引发潜在风险。 

通过 HTML 转义，可以防止 XSS 攻击。

所有要插入到页面上的数据，都要通过一个敏感字符过滤函数的转义，过滤掉通用的敏感字符后，就可以插入到页面中。