SHEIN 有众多线上业务页面，如何保障页面免受常见的 XSS 攻击？

答题要点

可运用步骤阐述法答题。先表明对 XSS 攻击的理解，再说明防护步骤。关键要点如下：1. 输入验证：对用户输入进行严格过滤，过滤特殊字符，防止恶意代码注入，如对 `<` `>` 等符号进行转义。2. 输出编码：在页面输出时，对数据进行编码处理，确保数据以纯文本形式显示，避免浏览器将其解析为代码。3. 设置 CSP：启用内容安全策略，限制页面可加载的资源来源，减少被注入恶意脚本的风险。示例思路：对于用户输入，我会进行过滤处理，确保不包含恶意代码。在输出时，采用 HTML 编码。同时，设置 CSP，只允许加载指定来源的脚本。