Ошибка громкоговорителя Callkit / как WhatsApp это исправил?

Для управления XSS требуется несколько проверок, данные с клиентской стороны.

1. Входные проверки (проверка формы) на стороне сервера. Есть несколько способов обойти это. Вы можете попробовать проверить JAN 303 bean validation ( hibernate validator ) или ESAPI Input Validation framework . Хотя я еще не пробовал это (пока), есть аннотация, которая проверяет безопасный html (@SafeHtml). Фактически вы можете использовать валидатор Hibernate с Spring MVC для проверки bean-компонентов -> Ref
2. Escaping URL-запросы - для всех ваших HTTP-запросов используйте какой-то фильтр XSS. Я использовал следующее для нашего веб-приложения, и он заботится о очистке HTTP-запроса URL-адреса - http://www.servletsuite.com/servlets/xssflt.htm
3. Исключение данных / html, возвращенных клиенту (смотрите выше при объяснении @BalusC).