在输出的时候防御XSS即对用户输入进行转义，XSS的问题本质上还是代码注入，HTML或者javascript的代码注入，即混淆了用户输入的数据和代码。而解决这个问题，就需要根据用户可控数据具体输出的环境进行恰当的转义。

在html标签中输出

<HTML标签>[输出]</HTML标签>

只需要htmlencode即可。更具体是转义掉< > 就可以防止html注入。

输出在普通html属性中

<div attr=不可信数据>content</div>

好的方案应该是把不可信数据用双引号包裹起来，然后对数据进行htmlencode。

<script>var $a="不可信数据"</script>

确保输出变量在引号中，使用javascript编码输入数据。要防止</script> 截断

<a href=# onlick="funcA('$var')"> test</a>

防御：先做javascript编码，再做html编码。因为输出数据位于html标签属性中，浏览器会进行html自解码。

对协议进行白名单，http或者https，然后对其他部门进行url编码。避免javascript，data uri等伪协议攻击。