反射型XSS的触发有后端的参与，要避免反射性XSS，必须需要后端的协调，后端解析前端的数据时首先做相关的字串检测和转义处理此类XSS通常出现在网站的搜索栏用户登录口等地方，常用来窃取客户端Cookies或进行钓鱼欺骗整个。

常用的XSS攻击手段和目的有1盗用cookie，获取敏感信息2利用植入Flash，通过crossdomain权限设置进一步获取更高权限或者利用Java等得到类似的操作3利用iframeframeXML。

asp中防止xss攻击的方法如下确保所有输出内容都经过 HTML 编码禁止用户提供的文本进入任何 HTML 元素属性字符串根据 中的概述，检查 RequestBrowser，以阻止应用程序使用 Internet。

11#160反射型XSS 反射性XSS，也就是非持久性XSS用户点击攻击链接，服务器解析后响应，在返回的响应内容中出现攻击者的XSS代码，被浏览器执行一来一去，XSS攻击脚本被web server反射回来给浏览器执行，所以称为反射。

跨站漏洞是需要其他正常用户进入到漏洞页面，执行了攻击者构造的恶意JS代码偷取cookie，假如攻击者获得高权限用户的cookie就有机会以高权限用户的身份进入系统，然后再进一步入侵所以治本的方法就是对攻击者提交的数据进行过滤。

采用分段加载，先让后台响应页面，需要长时间处理的代码变为线程去处理，如果需要把长时间处理后结果返回到响应的页面去，servlet20后好像是支持的，如果不行，可以采用异步方式。