Laravel通过Blade模板的{{ }}自动转义输出，防止XSS；2. 避免使用{!! !!}输出不可信内容；3. 在JavaScript中用Js::from()安全注入数据；4. 结合输入验证、HTML净化库及CSP等安全头全面防护。

在 Laravel 中防止跨站脚本攻击（XSS）主要依赖于数据输出时的自动转义机制和开发者良好的编码习惯。Laravel 本身提供了一些内置机制来帮助防范 XSS，但正确使用这些功能至关重要。

1. 使用 Blade 模板引擎的自动转义

Laravel 的 Blade 模板引擎默认会对使用双大括号 {{ }} 输出的内容进行 HTML 转义，这意味着特殊字符如 、>、& 等会被转换为对应的 HTML 实体，从而防止浏览器将其解析为可执行脚本。

例如：

{{ $userInput }}

如果 $userInput 包含 ，Blade 会将其转义输出为纯文本，不会执行脚本。

注意：如果使用 {!! !!} 输出内容，则不会进行转义，需格外小心：

{!! $untrustedContent !!}

这种写法应仅用于你完全信任的内容，比如后台富文本编辑器中经过过滤的 HTML。

2. 输入验证与净化

虽然输出转义是防御 XSS 的主要手段，但在接收用户输入时也应进行适当验证和过滤。

• 使用 Laravel 的表单请求验证或 validate() 方法限制输入格式，例如限制字符串长度、过滤非法字符。
• 对于允许 HTML 的场景（如文章内容），建议使用专门的 HTML 净化库，如 HTMLPurifier 或 league/commonmark 配合白名单标签处理。

3. 避免在 JavaScript 中直接注入用户数据

即使 Blade 转义了 HTML，如果将用户数据以不安全的方式插入到 JavaScript 中，仍可能触发 XSS。

错误示例：

var username = "{{ $username }}";

如果 $username 包含引号或换行，可能导致脚本执行。

推荐做法：使用 json_encode 并设置好选项：

var username = {{ Illuminate\Support\Js::from($username) }};

Laravel 提供的 Js::from() 会安全地将 PHP 数据转换为 JavaScript 可用格式，自动处理转义。

4. 设置安全的 HTTP 头

通过中间件或服务器配置添加安全头，增强整体防护：

• X-Content-Type-Options: nosniff —— 防止 MIME 类型嗅探
• X-Frame-Options: DENY —— 防止点击劫持
• Content-Security-Policy (CSP) —— 限制脚本来源，强烈推荐用于高安全场景

Laravel 可通过中间件或 spatie/laravel-csp 这类包轻松实现 CSP 策略。

基本上就这些。只要坚持使用 Blade 的默认转义、避免滥用 {!! !!}、在 JS 中安全输出数据，并配合输入验证和安全头，Laravel 应用就能有效抵御大多数 XSS 攻击。