我正在創建一個網站，并且有一個部分，用戶可以在其中通過表單提供輸入。使用以下方法對輸入進行清理：str.replace(/[\x26\x0A<>'"]/g,function(r){return"&#"+r.charCodeAt(0)+";"})之后，數據被放置在<p>標簽之間。所以像這樣：<p id="foo">Random message</p>我的替換函數是否足以防止 XSS 攻擊？