使用 textContent 或转义函数,避免把不可信输入写入 innerHTML。
textContent
innerHTML
示例: #<script>alert(1)</script> 或 ?q=<img src=x onerror=alert(1)>,本页不会触发弹窗。
#<script>alert(1)</script>
?q=<img src=x onerror=alert(1)>