XSS漏洞说明 由于参数未完全过滤导致了XSS跨站脚本攻击。-问答-阿里云开发者社区-阿里云

XSS的概念： 攻击者往页面中插入恶意的js代码， 当用户打开页面时， 被插入的恶意代码会被执行， 进而达到攻击者控制浏览器的目的。
解决方法： 防止XSS攻击可从两个方面出发， 分别是： 输入和输出。 输入即对请求的参数， 尤其是用户输入的参数要进行过滤， 防止恶意用户传js脚本到系统中； 输出即请求返回值进行转义， 比如 < 转义成 < 这样及时有恶意js脚本要输出， 通过转义后浏览器不在把它当做js脚本，而是当做普通的文本输出， 进而也就不会执行了。

建议买一本白帽子说web安全