使用{{}}自动转义防止XSS，输出HTML时需用Purifier过滤并配合{!! !!}，关键在于服务端预处理和始终不信任用户输入。

在 Laravel 的 Blade 模板中输出用户内容时，防止 XSS（跨站脚本攻击）是关键。Laravel 默认对 Blade 中的双大括号 {{ }} 语法进行 HTML 实体转义，这是安全输出的基础机制。

使用双大括号自动转义内容

Blade 模板引擎会自动调用 PHP 的 htmlspecialchars 函数处理双大括号中的变量，防止恶意脚本执行。

例如：

如果 $userInput 的值是 ，Blade 会将其转义为纯文本显示，而不是执行脚本。

允许 HTML 内容时的处理方式

当确实需要输出用户提交的 HTML（如富文本编辑器内容），不能使用默认的 {{ }}，但必须谨慎处理。

推荐做法：

• 使用 Laravel 的 purify 扩展包（如 mews/purifier）过滤用户输入的 HTML，只保留安全标签。
• 安装后，在 Blade 中这样使用：

{!! !!} 表示不转义输出，因此前面必须确保内容已净化。

在控制器中预处理用户输入

更安全的方式是在保存或显示前就清理数据。

举例：

将净化后的 HTML 存入数据库，Blade 显示时仍可用 {!! !!} 安全输出。

避免直接输出未经验证的数据

不要假设用户输入是安全的，即使前端有校验。所有用户内容都应经过服务端过滤。

特别注意以下情况：

• URL 参数、表单输入、文件上传名、评论内容等都可能携带恶意代码。
• 即使是“普通文本”字段，也应使用 {{ }} 输出。

基本上就这些。只要坚持使用 {{ }} 输出变量，需要展示 HTML 时配合 Purifier 过滤，就能有效防止 XSS 攻击。安全输出不复杂，但容易忽略细节。