Pídales a sus expertos en seguridad o desarrolladores de servicios de fondo que creen un complemento como HTMLCutter Plugin, para que solo filtre y desinfecte todas las entradas que proporciona el usuario antes de procesarlas.
Los pasos alternativos que se pueden tomar son
1) Necesita una biblioteca de codificación de seguridad = > enlace : la biblioteca de codificación de Microsoft
2) Escape HTML antes de insertar datos no confiables en el contenido del elemento HTML
Busque Implementación de referencia ESAPI en code.google.com
Comando
Cadena segura = ESAPI.encoder (). EncodeForHTML (request.getParameter ("input"));
3) Escape de atributos antes de insertar datos no confiables en atributos comunes de HTML
Cadena segura = ESAPI.encoder (). encodeForHTMLAttribute (request.getParameter ("input"));
4) Escape de JavaScript antes de insertar datos no confiables en los valores de datos de JavaScript
Cadena segura = ESAPI.encoder (). encodeForJavaScript (request.getParameter ("input"));
5) Escape de CSS y valide estrictamente antes de insertar datos no confiables en valores de propiedad de estilo HTML
Cadena segura = ESAPI.encoder (). encodeForCSS (request.getParameter ("input"));
6) Escape de URL antes de insertar datos no confiables en valores de parámetros de URL de HTML
Cadena segura = ESAPI.encoder (). encodeForURL (request.getParameter ("input"));
7) Desinfecte el marcado HTML con una biblioteca diseñada para el trabajo
Puede encontrar el código en github para HTMLSanitizer, Ruby on Rails Sanitizer, etc.
8) Prevenir XSS basado en DOM
Consejos adicionales:
I) Usar el indicador de cookie HTTPOnly
II) Implementar la política de seguridad de contenido
III) Usar un sistema de plantillas de escape automático
IV) Utilice el encabezado de respuesta de protección X-XSS
Espero que esto ayude a resolver el problema.