现在我正在学习关于web安全、XSS等的知识,因为XSS基本上是以客户端代理(web browser)为目标的,它是通过注入由web浏览器执行的恶意代码来实现的,这些代码是由经过身份验证的用户插入的。现在的问题是,为什么我们不能在html中有一个标记,它只显示文字,并阻止在里面执行任何东西?<!-- The code below will not be executed and just treated as literal content by a web browser -->
<script type="text/java