JavaScript中，escape()函數是一種將字符串轉換為ASCII編碼的函數。它可以將所有的特殊字符和非ASCII字符轉換為%XX的形式，其中XX代表字符的十六進制編碼。

例如，字符串“hello world”可以通過escape()函數轉換為“hello%20world”。其中，空格被轉換為%20，因為空格在ASCII編碼中是32，它的十六進制形式是20。

var str = "hello world";
var encodedStr = escape(str); // "hello%20world"

除此之外，escape()函數還可以處理各種特殊字符，例如：

• 單引號

var str = "I'm happy!";
var encodedStr = escape(str); // "I%27m%20happy%21"

• 雙引號

var str = "He said, \"I love you.\"";
var encodedStr = escape(str); // "He%20said%2C%20%22I%20love%20you.%22"

• 斜杠

var str = "a/b";
var encodedStr = escape(str); // "a%2Fb"

• 換行符

var str = "hello\nworld";
var encodedStr = escape(str); // "hello%0Aworld"

需要注意的是，這種ASCII編碼并不能完全防止跨站腳本攻擊（XSS）。

例如，假設網站將用戶輸入的評論顯示在頁面上：

<div id="comments"></div>
<script>
var comment = "hello!<script>alert('xss attack');</script>";
var encodedComment = escape(comment);
document.getElementById("comments").innerHTML = encodedComment;
</script>

在這種情況下，攻擊者可以輸入帶有JavaScript代碼的評論，并執行它們。使用escape()函數轉義字符串并不能防止這種攻擊，因為一些字符（例如反斜杠和括號）并不被轉義。

為了更好地防止XSS攻擊，應該使用更安全的方式來輸出用戶提供的數據，例如使用innerHTML()方法代替innerText()方法，或使用encodeURIComponent()函數代替escape()函數。