我已经在OWASP和网络上看到了很多有关如何避免/预防XSS攻击的信息。但是，我还没有发现任何提及检测到XSS攻击时如何响应的内容。

应该返回什么HTTP状态代码（即400、403 ...）？
您应该在屏幕上还是在console.log上提供错误消息？
将他们重定向到另一个页面？

您应该发送HTTP 400（错误请求）响应代码和最少的错误消息，足以使技术支持可以帮助合法用户，但不能将信息提供给攻击者。

还要记录请求。

合法用户可能会输入一些他们不应该输入的信息，因此您不应采取过分苛刻的措施。

一个真实的例子是Hibernate Validator的@SafeHtml验证，如果可以输入XSS，它将导致400状态代码。