PHP中如何防范跨站脚本攻击（XSS）？有哪些防护措施？

PHP中防范跨站脚本攻击（XSS）的主要措施包括：

1. 输出转义：在输出到HTML页面之前，对所有的输出进行转义处理。使用htmlspecialchars()函数可以将特殊字符转换为HTML实体，从而避免代码被当作HTML执行。

$taintedString = "<script>alert('XSS');</script>";
echo htmlspecialchars($taintedString, ENT_QUOTES, 'UTF-8');

2. 使用预处理语句：在使用数据库查询时，始终使用预处理语句，而不是直接将用户输入拼接到SQL查询中。预处理语句会自动转义特殊字符，防止SQL注入攻击。

$pdo = new PDO('mysql:host=localhost;dbname=databasename', 'username', 'password');
$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username');
$stmt->execute(['username' => $userInput]);

3. 使用内容安全策略（CSP）：通过设置HTTP头部的Content-Security-Policy来限制资源的加载，减少XSS攻击面。

header("Content-Security-Policy: default-src 'self'; script-src 'self' https://trustedscripts.example.com");

4. 对于富文本内容，使用HTML Purifier或其他清洗库，它们可以移除或转换潜在的危险标签。

require_once 'HTMLPurifier.auto.php';
 
$purifier = new HTMLPurifier();
$cleanHtml = $purifier->purify($dirtyHtml);

5. 对于Cookie，确保设置HttpOnly标志，这样JavaScript就无法通过Document.cookie访问Cookie，减少XSS攻击的威胁。
6. 审核输入：对于所有的输入进行严格的验证，确保输入的数据类型和格式符合预期，以及对输入内容进行适当的清洗和转义。

总结，防范XSS攻击的关键是对输入输出进行严格的控制，同时使用最新的安全实践，如预处理语句和HTTP头部的安全策略。