查了一下，我的理解如下:
所谓的xss，
攻击方式是，a画面跳转到b画面的时候，文本框（或别的什么）的传值里有攻击代码（js），然后在b画面进行html解析的时候执行。

转义作为对应手段，转义的timing是在b画面html解析前。所以，所有可能接到前画面传值的tag都要转义。
如果 <input type="hidden" value="1"/>这样的固定值是不需要的。
以上理解，如有不足或偏差请指正多谢。
【 在 dajun 的大作中提到: 】
: <input type="text" value="XSS"/>
: <input type="hidden" value="XSS"/>
: XSS根本就不管是text还是hidden, 就算是<input type="求你别xss啊" value="XSS"/>也还是一样的啊
--
FROM 223.69.70.*