简单的说就是没有对用户输入进行过滤，并且直接render到页面上。当页面允许用户提交html时，用户会输入一些可执行脚本，JavaScript可以做很多事情了
【 在 chwork 的大作中提到: 】
: 有没有简单例子?
:
: 看到公司有人submit php代码说:
: ...................
--来自微水木3.0.1
--
FROM 222.35.144.*