挺喜欢这个网站的，也从里面认了一些朋友，昨天在里面搜索同学的时候，无意中发现了一大堆跨站。唉，太不重视安全了……

代码:

http://www.wealink.com/sc_main_submit.htm?includefirst=1&keywords=%3Cscript%3Ealert(document.cookie)%3C/script%3E

相对注入攻击，跨站不是一个很好解决的问题。但是感觉对于这种用户直接输入的字符串的检测，最好是有一个底层的通用方法，而不是去依赖程序员的具体实现。有了这样一个底层的通用方法后，再做代码审核的时候比较容易发现问题。任何需要回显用户输入的地方，直接检查是否使用了这个过滤就可以了。编码时候的缺陷难以避免，尽量提高审核的方便性，在上线之前的代码审核中发现问题就成了关键。但是对
于一些用户自定义页面，比如允许用户自定义背景图片，背景颜色，页面样式，这样引入的跨站，还没什么好的想法，即使上线前的代码审核也难以挖掘出来。