String.replace() 实现安全 XSS 防护方法

本文深入剖析了为何仅靠 `String.prototype.replaceAll()` 配合简单字符串替换无法实现真正的 XSS 防护——它缺乏对 HTML 结构、多上下文（文本/属性/脚本/URL）及攻击绕过手法（如大小写混淆、HTML 实体编码、无引号注入）的感知能力；文章强调，安全必须依赖上下文敏感的输出编码策略与成熟方案（如 DOMPurify、框架自动转义），并明确划清 `replaceAll` 的适用边界：它只适合纯文本预处理等非渲染场景，一旦涉及用户数据插入 DOM，盲目使用反而会埋下严重安全隐患。

不能通过 String.prototype.replaceAll() 配合“原始转义逻辑”实现安全的 XSS 防护。

为什么 replaceAll 无法胜任 XSS 防护

replaceAll 只是字符串级别的简单替换，它不理解 HTML 结构、上下文或语义。XSS 攻击常利用浏览器对 HTML、JavaScript、CSS、URL 等不同上下文的解析规则绕过简单替换。例如：

• 替换掉