Principio: No crea los datos ingresados por el cliente
Nota: El código de ataque no está necesariamente en <script> </ script>
- Marque las cookies importantes solo como http, de modo que la declaración document.cookie en Javascript no pueda obtener cookies.
- Solo permitimos que los usuarios ingresen los datos que esperamos. Por ejemplo: en un cuadro de texto de edad, solo los usuarios pueden ingresar números. Se filtran caracteres distintos de los números.
- HTML Codificar los datos
- Filtre o elimine etiquetas HTML especiales, por ejemplo: <script>, <iframe>, & lt; for <, & gt; for>, & quot para
- Filtrar etiquetas para eventos de JavaScript. Por ejemplo "οnclick =", "onfocus", etc.