如何防止xss攻击,需要过滤什么

对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。

xss漏洞防御方法有输入过滤、纯前端渲染、转义HTML和标签和属性基于白名单过滤。输入过滤：有时候需要多次过滤，例如script过滤掉后还是，需要注意多个过滤器的先后次序。

输入检查一般是检查用户输入的数据中是否包含一些特殊字符，如、、、等，如果发现存在特殊字符，则将这些字符过滤或者编码。