html嵌入js代码显示而不执行的

昨天跟朋友聊了点关于web安全方面的问题，我对这个摄入不深。提到关于html嵌入js不是让他执行而是显示。第一反应就是html转移，用过把

<script>alert(1)<script>

这一块代码，存入数据库里面，当被读取然后输出到浏览器的时候，html肯定会被执行。一般写代码的时候，insert的时候，肯定会随手会转义一下，知道这是为了安全考虑。久而久之也不动脑筋了忽略了一些东西吧。

1.对<script>类似标签进行过滤。凡事发现的直接剔除。
2.对<script>对标签进行转义
经测试以后，第一段html会被浏览器解释成第二段的形式进行显示，浏览器不会对html进行2次解释，也就是说不会把<font color="red">This is some text!</font>在进行一次解释。This is some text!字体颜色不会被设置成红色。正常模式确实会这么显示，但是在debug模式下，可以轻松改版html代码和样式这是要注意的。
3.<script> 替换成别的标签，在html加载的时候由css去控制其样式，并告诉用户这是XX语言的代码，js做一些效果，比如监听鼠标，双击就全选，单击就取消，这是目前大多数web网站采用的一种形式。