跨站脚本攻击(XSS)已经不是什么新鲜的话题了,甚至很多大公司也为此吃尽苦头。最简单直接的防范方法,就是不允许任何html标签输入,对用户输入进行编码(htmlencode)。但是如果想用户输入支持一些格式,怎么办?一种办法就是很多论坛采用的BBCode的方法。使用特定的标签代替一些格式。比如:[B]表示粗体,等等。但是,BBCode这种形式并不被广泛接受,它的表现力实在太差了,而且并不是标准格式。为了让用户的输入更具表现力,涌现了大量的Html编辑器控件,著名的有FCKEditor,FreeTextBox,RichTextBox,CuteEditor,TinyMCE等等。比如,博客园的后台发随笔就支持CuteEditor和TinyMCE,我