คุณควรอนุญาตให้ข้อมูลที่ไม่น่าเชื่อถือเป็นรายการที่อนุญาตของคุณลักษณะที่ดีเช่น: จัดตำแหน่ง, alink, alt, bgcolor, เส้นขอบ, cellpadding, การจัดพื้นที่เซลล์, คลาส, สี, cols, colspan, coords, dir, ใบหน้า, ความสูง, hspace, ismap, lang , marginheight, marginwidth, หลาย, nohref, noresize, noshade, nowrap, ref, rel, rev, แถว, rowspan, การเลื่อน, รูปร่าง, ช่วง, สรุป, tabindex, หัวเรื่อง, usemap, valign, ค่า, vlink, vspace, ความกว้าง
คุณต้องการเก็บข้อมูลที่ไม่น่าเชื่อถือออกจากตัวจัดการจาวาสคริปต์เช่นเดียวกับคุณสมบัติ id หรือชื่อ (พวกเขาสามารถปิดบังองค์ประกอบอื่น ๆ ใน DOM)
นอกจากนี้หากคุณใส่ข้อมูลที่ไม่น่าเชื่อถือลงในแอตทริบิวต์ SRC หรือ HREF ดังนั้น URL ที่ไม่น่าเชื่อถือดังนั้นคุณควรตรวจสอบความถูกต้องของ URL ตรวจสอบให้แน่ใจว่าไม่ใช่ javascript: URL และเข้ารหัสเอนทิตี HTML
รายละเอียดเพิ่มเติมเกี่ยวกับที่นี่ทั้งหมด: https://www.owasp.org/index.php/Abridged_XSS_Prevention_Cheat_Sheet