专门针对为网络编译的Unity游戏。

由于Unity的Web导出器以HTML5为目标，因此这样做使它容易受到XSS攻击。例如，假设有一个多人游戏，用户可以输入并保存将被游戏中所有玩家查看的文本。恶意用户是否可以注入(inject)一些JavaScript，然后在运行游戏的所有客户端(可以看到输入的文本)中执行这些JavaScript？

答案很大程度上取决于服务器的设置方式，但通常来说，未经消毒就发送到服务器和进程的任何数据都会使其受到XSS攻击。同样，这取决于您对这些数据的处理方式，但是最好始终对数据进行消毒。除非您在服务器中运行WebGL实例来处理该数据，否则这里没有什么特定于WebGL的内容。