我正在解决Java中的跨站点脚本问题。由于我是OWASP的新手，所以有人可以帮我弄清楚如何在以下情况下使用OWASP清理输入内容。


Enumeration<String> EnumHeader = request.getHeaderNames();
Map<String, String[]> pMap = request.getParameterMap();
Object value = request.getHeader(key);
String[] refs = (req.getParameterValues(REFS_NAME));

尽管数据验证对于防止XSS很有帮助，但不一定涵盖持久XSS的所有基础。唯一的100％有效保护是OWASP Java编码器项目或OWASP ESAPI的编码器提供的适当的上下文输出编码。造成这种情况的一个原因是持久性XSS，受污染的数据可能来自某个DB，该DB可能由另一个具有对相同DB表的插入/更新访问权限但未进行适当数据验证的应用程序输入或更改。 （也就是说，受污染的数据可能会通过应用程序以外的其他方式进入系统。）因此，唯一安全的解决方案是进行适当的上下文输出编码。您已经指出的OWASP XSS预防备忘单是一个很好的起点，它解释了所有这一切。