1、假如所有的输入都是可疑的，就必须对所有的输入script、iframe等字样进行严格审查，这里的输入不仅仅是用户可以直接交互的输入接口，也包括其http请求中的cookie中的变量，http请求头部中的变量。

　　2、不仅要验证数据的类型还需要验证其格式长度，范围和内容。

　　3、不仅要在客户端做好数据的验证与过滤，关键的过滤步骤在服务端进行。

　　4、对输入的数据也需要检查，数据路的里的值有可能会在一个大网站的多处有输出，即使输入了编码等操作，在各处的输出点也要进行安全检查。