XSS(Cross-Site Scripting)란, 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법을 말한다.
보통 filter를 이용해서, <, >와 같이 악의적으로 사용 될 수 있는 HTML 코드를 각각 < 와 > 처럼 HTML 문자로 바꾸어서 코드가 아닌 단순 문자로 인식되도록 저장한다.
저장한 '문자'를 화면에서 보여줄 때, 입력한 문자대로 보여주기 위해 unescape html처리도 가능 하다.
$("div").html("<script>").text();
or
var $div = document.createElement("div");
$div.innerHTML = "<script>";
$div.textContent;
javascirpt에서 escape html을 하고싶다면, 반대로 사용 하면 된다.
$("div").text("<script>").html();
or
$div = document.createElement("div")
$div.textContent = "<script>";
$div.innerHTML;