1. 用户输入的数据，不要不经过转义直接展示到页面上，防止其中有些js被执行，一般的用户输入的数据，页面渲染的时候都是被转义过得，即，用户输入什么就展示什么，不会被执行，但是特殊情况除外，比如富文本编辑器，对于富文本的内容一定要做好过滤。
2. 防止记录用户登录的cookie被劫持，这个cookie要设置HttpOnly