防范XSS的方法有：(1) 严格的输入检测以及对恶意字符的过滤，在接收从用户端输入的进行验证和限制，对非法的字符进行过滤；(2) 对后端传输到前端的输出进行编码，防止其被解析成为动态内容；(3) 使用HTTP Content_Type / X-Content-Type-Options 的字段对非引用HTML和JavaScript的HTTP响应进行限制；(4) 使用 HTTP 协议中的 Content-Security-Policy 来对引用外部的JavaScript资源进行限制；