第一、在输入方面对所有用户提交内容进行可靠的输入验证，提交内容包括URL、查询关键字、http头、post数据等

 

第二、在输出方面，在用户输内容中使用 <XMP>标签 还是用js-xss吧 。标签内的内容不会解释，直接显示。

 

第三、严格执行 字符输入 字数控制。

 

四、在脚本执行区中， 应 去除   用户 输入 的  任何 字符。

 

 

最简单的方案是嵌入到<script type="text/html">或<script type="text/template">内部，并加上display: block即可。 

这样任何进制的script危险脚本, 都不会执行, 只能显示了

 

对编辑器用户提交的东西, 进行修改src url 等, 去除其他无用的属性, 重新组装标签属性

 

使用白名单, 只允许某些字符输入 

 httpOnly