我刚用Hiccup试过这个：

(hiccup.core/html [:h1 "<script>alert('xss');</script>"])

令我惊讶的是我得到了一个警报框,Hiccup默认情况下不会转义字符串.我看到有一种方法来逃避字符串,但在我看来,如果它不是默认值,迟早你会忘记并且容易受到XSS的攻击.

Hiccup有没有办法让它在默认情况下逃脱字符串？

最佳答案 不,但
core/h is an alias for escape-html使它更方便：

(hiccup.core/html [:h1 (hiccup.core/h "<script>alert('xss');</script>")])