javaweb项目，从安全的角度思考，否则哪天你的项目就被简单的黑掉了。最简单的就是从网站输入了alert("i am coming")，返回的确实一个弹出框，这就尴尬了。

事实上，现在运行的很多项目，安全的意识还没有得到重视。不要等到被勒索病毒这样的严重事件爆发出来才亡羊补牢，这就晚了。所以，一个成熟的项目安全是一定要的。

XSS攻击是相对简单的一个了，防止XSS攻击是一定要的。下面说一下防止的具体方法：jsoup工具类

jsoup使用很简单，功能却很强大。它提供了很多简单易懂，方便应用的方法

上代码好说话

项目中引入：

jsoup 使用一个 Whitelist 类用来对 HTML 文档进行过滤，该类提供几个常用方法：

常用方法如下：

none():只允许包含文本信息

basic():允许的标签包括：a, b, blockquote, br, cite, code, dd, dl, dt, em, i, li, ol, p, pre, q, small, strike, strong, sub, sup, u, ul, 以及合适的属性

simpleText():只允许 b, em, i, strong, u 这些标签

basicWithImages():在 basic() 的基础上增加了图片

relaxed():这个过滤器允许的标签最多，包括：a, b, blockquote, br, caption, cite, code, col, colgroup, dd, dl, dt, em, h1, h2, h3, h4, h5, h6, i, img, li, ol, p, pre, q, small, strike, strong, sub, sup, table, tbody, td, tfoot, th, thead, tr, u, ul

如果这五个过滤器都无法满足你的要求呢，例如你允许用户插入 flash 动画，没关系，Whitelist 提供扩展功能，例如 whitelist.addTags("embed","object","param","span","div"); 也可调用 addAttributes 为某些元素增加属性。

用法：Jsoup.clean(content, Whitelist.relaxed());//content:要处理的内容

实例：

加入到你的项目中，测试后你会发现，它很好用，也很实用。这里只是简单使用，入个门。具体高级应用项目中用到了再深入研究，增加效率，帮助你更快的完成工作