对输入（用户输入、GET请求、POST请求、Ajax请求）进行过滤：用白名单或黑名单过滤危险字符，比如：将危险的半角字符转为全角字符

对输出进行编码转义：根据数据在HTML上下文中出现的不同位置（HTML标签、HTML属性、JavaScript脚本、CSS、URL），来进行恰当处理

合理设置CSP（内容安全策略）：它的本质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单

合理设置X-Xss-Protection：它是 Internet Explorer、Chrome 和 Safari 的一个功能，当检测到跨站脚本攻击 (XSS)时，浏览器将停止加载页面。

Cookie设置http-only

6.引用第三方组件来防御，如果是Java语言则引用Jsoup