XSS 的防御与修复

简单的操作

对所有来自用户的输入，在展示时进行 HTML entity encode 。

过滤器

OWASP XSS Prevention Cheat Sheet
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

OWASP ESAPI
https://blog.csdn.net/simplemurrina/article/details/71190955

OWASP Java Encoder
https://www.owasp.org/index.php/OWASP_Java_Encoder_Project
https://github.com/OWASP/owasp-java-encoder/wiki

XSS过滤器 – DeXSS V1.2
http://www.freebuf.com/sectool/4056.html
https://github.com/leighklotz/dexss

XssHtml – 基于白名单的富文本XSS过滤类
http://www.freebuf.com/sectool/37106.html

21 things you can do with XSS
https://somdev.me/21-things-xss/

其他

除了以过滤的方式防御以外，还可以考虑使用一些特殊的 HTTP 头。

• #XSS