xss:cross site script 跨站脚本 通过用户提交恶意脚本,所以要对用户提交进行编码
jsonp: 跨域请求,ajax不能跨域 src属性都能请求跨域内容,img、iframe和script标签;通过src传递内容给另一个域的服务器,它再根据内容,返回js代码。