1.不要引入任何不可信的第三方JavaScript到页面里。

2.将不可信数据插入到HTML标签之间时，对插入数据进行HTML Entity编码。

3.将不可信数据插入到HTML属性里时，对插入数据进行HTML属性编码。

4.将不可信数据插入到SCRIPT里时，对插入数据进行SCRIPT编码。

5.将不可信数据插入到Style属性里时，对插入数据进行CSS编码。

6.将不可信数据插入到HTML URL里时，对插入数据进行URL编码。

7.使用富文本时，使用XSS规则引擎进行编码过滤。