如何防止xss攻击,需要过滤什么

输入检查一般是检查用户输入的数据中是否包含一些特殊字符，如、、、等，如果发现存在特殊字符，则将这些字符过滤或者编码。

xss漏洞防御方法有输入过滤、纯前端渲染、转义HTML和标签和属性基于白名单过滤。输入过滤：有时候需要多次过滤，例如script过滤掉后还是，需要注意多个过滤器的先后次序。

，利用字符过滤漏洞，提交恶意js代码，当用户打开页面时执行 2，需要填写图片地址或css等直接在页面加载时执行的地方，填写恶意js [javascript：xxxx]，当用户打开包含图片的页面时，可以执行js。