我正在保存用户提交的HTML（在数据库中）。我必须防止Javascript注入攻击。我见过的最有害的脚本是style =“
expression（…）”中的脚本。

除此之外，相当数量的有效用户内容将包括特殊字符和XML构造，因此，我希望尽可能避免使用白名单方法。（列出每个允许的HTML元素和属性）。

Javascript攻击字符串的示例包括：

1）

“你好，我的元素有一个