当（重新）显示用户控制的输入时，可以通过使用JSTL <c:out>标签或fn:escapeXml()EL函数在JSP中防止XSS 。这包括请求参数，标头，cookie，URL，正文等。从请求对象中提取的所有内容。同样，在重新显示期间，也需要转义存储在数据库中的先前请求的用户控制输入。

例如：

<p><c:out value="${bean.userControlledValue}"></p>
<p><input name="foo" value="${fn:escapeXml(param.foo)}"></p>

这将逃脱这可能malform渲染HTML，如人物<，>，”，’和&成HTML / XML实体，如&lt;，&gt;，&quot;，'和&amp;。

注意，你不需要在Java（Servlet）代码中对其进行转义，因为它们在那儿是无害的。有些人可能会选择在逃避他们的请求处理（如你在Servlet或者过滤器一样），而不是响应处理（如你在JSP做），但这种方式，你可能会冒这个险的数据不必要获得双重逸出（如&变&的，而不是&amp;和最终，最终用户会看到&出现），或者数据库存储的数据变得不可移植（例如，将数据导出到JSON，CSV，XLS，PDF等完全不需要转义HTML的数据时）。你还将失去社交控制权，因为你不再知道用户实际填写了什么。作为站点管理员，你真的很想知道哪些用户/ IP正在尝试执行XSS，以便你可以轻松跟踪他们并采取相应的行动。仅在你确实需要在尽可能短的时间内修复开发不良的旧版Web应用程序的残骸时，才应将请求处理期间的转义用作最新手段。不过，你最终应该重写JSP文件以使其成为XSS安全的。

如果你想重新显示用户控制输入为HTML，其中你想只允许HTML标签，如的特定子集<b>，<i>，<u>，等等，那么你需要通过一个白名单来净化输入。你可以为此使用HTML解析器，例如Jsoup。但是，最好引入一种人类友好的标记语言，例如Markdown（也在Stack Overflow中使用）。然后，你可以为此使用Markdown解析器（如CommonMark）。它还具有内置的HTML清理功能。另请参见我正在寻找Java HTML编码器。

服务器端与数据库有关的唯一问题是防止SQL注入。你需要确保不要在SQL或JPQL查询中直接对用户控制的输入进行字符串连接，并且要始终使用参数化查询。用JDBC术语，这意味着你应该使用PreparedStatement而不是Statement。在JPA术语中，使用Query。