一:因为项目使用了freemarker模板,需要全局转义freemarker输出
二:使用插件 xss.js,在使用html(),append()等地方,将具体的每个字段内容转义 filterXSS(字段内容),然后在使用的地方直接使用。
也可以在append()等方法的地方使用,而不必用在具体的字段上,但有个缺点,需要自定义配置过滤项,否则片接的html代码片段如果带有样式和私有的属性等等,会被过滤掉。
这个可以根据具体需求具体使用
三:设置cookies httpOnly ,似的即使成功xss攻击了网站,也无法使用js获取用户的cookies。这个不是预防,而是在防御xss攻击失败时,将损失降到最小。