其实也不复杂, 因为XSS攻击主要利用了Web应用程序对用户输入没有进行严格过滤的漏洞, 造成恶意代码可以在客户端的浏览器上运行, 因此需要从服务器端和客户端进行防御。例如, 对于服务器端来说, Web应用程序应该对用户的输入信息进行严格检测。包括输入的内容是否包含非法字符, 尤其是对带有Java Script和Asp Script标签的数据要严格检测, 对于内容过长的输入内容要严格过滤等。对于客户端来说, 可以通过提高浏览器安全等级的办法, 来抗击XSS攻击, 也可以关闭Cookie来降低安全风险,因为IE因为树大招风容易被黑客利用, 所以使用其他品牌的浏览器等工具, 也不失为防范XSS攻击的有效方法。