點擊穿透

這是因為在移動端瀏覽器，事件執(zhí)行的順序是touchstart > touchend > click
而click事件有300ms的延遲，當(dāng)touchstart事件把B元素隱藏之后，隔了300ms，瀏覽器觸發(fā)了click事件，但是此時B元素不見了，所以該事件被派發(fā)到了A元素身上
如果A元素是一個鏈接，那此時頁面就會意外地跳轉(zhuǎn)

事件機制

捕獲，到達目標(biāo)，冒泡

現(xiàn)代瀏覽器：addEventListener / evt.target，無on，有捕獲和冒泡，參數(shù)3控制在捕獲還是冒泡階段觸發(fā)事件
舊IE：attachEvent / event.srcElement，帶on，只有冒泡階段

XSS

發(fā)生在：
1. 數(shù)據(jù)從一個不可靠的鏈接進入到一個web應(yīng)用程序
2. 沒有過濾掉惡意代碼的動態(tài)內(nèi)容被發(fā)送給web用戶

前端防范：
1. 字符串類型的數(shù)據(jù)，需要針對<、>、/、’、”、&五個字符進行實體化轉(zhuǎn)義
function encodeHTML (a) {
  return String(a)
    .replace(/&/g, "&amp;")
    .replace(/</g, "&lt;")
    .replace(/>/g, "&gt;")
    .replace(/"/g, "&quot;")
    .replace(/'/g, "&#39;");
};
2. 在響應(yīng)頭或頁面<meta>內(nèi)設(shè)置 Content-Security-Policy
3. 設(shè)置響應(yīng)頭的 HttpOnly ，使得 cookie 不能使用 JavaScript 經(jīng)由  Document.cookie 屬性、XMLHttpRequest 和  Request APIs 進行訪問

后端防范：過濾所有的‘<’和‘>’字符，確保從后端而來的數(shù)據(jù)并不帶有任何的html標(biāo)簽，xss的危險在于有不可預(yù)料的前端腳本，但是值得注意的是，不單只有script標(biāo)簽是可以運行腳本的，任何的html標(biāo)簽都可以加上類似onclick，onload這樣的事件也都可以運行腳本，所以需要過濾所有的‘<’和‘>’字符