XSS即跨站腳本攻擊，XSS是一種經常出現在web應用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。 xss攻擊允許用戶註入客戶端腳本到其他用戶的服務器上。通常通過存儲惡意腳本到數據庫，其他用戶通過數據庫獲取惡意腳本，並在瀏覽器上呈現；或是使用戶點擊會引起攻擊者javascirpt腳本在用戶客戶端的連接來達到目的。但是xss攻擊可能發生在任意不可信的數據源頭，例如cookie和web service。無論何時，只要數據在頁面內沒有充分地消毒（sanitized），就可能發生xss攻擊。

二、防止XSS攻擊的兩種方式

1、對單一變量進行轉義過濾。可以使用escape過濾器，無需轉義時使用safe過濾器

　PS： 把用戶輸入的數據以安全的形式顯示，那只能是在頁面上顯示字符串。
　　　　django框架中給數據標記安全方式顯示(但這種操作是不安全的！)：
　　　　　　- 模版頁面上對拿到的數據後寫上safe. ----> {{XXXX|safe}}
　　　　　　- 在後臺導入模塊：from django.utils.safestring import mark_safe
　　　　　　　　把要傳給頁面的字符串做安全處理 ----> s = mark_safe(s)

好的文章：https://www.cnblogs.com/zh605929205/articles/7103796.html

Django XSS攻擊