过滤客户端提交的危险字符，客户端提交方式包含GET、POST、COOKIE、User-Agent、Referer、Accept-Language等，其中危险字符如下：

[1] |
[2] &
[3] ;
[4] $
[5] %
[6] @
[7] '
[8] "
[9]
[10] ()
[11] +
[12] CR
[13] LF
[14] ,
[15] .
[16] sc ript
[17] document
[18] eval

开发语言的建议：
[1]严格控制输入：
Asp：request
Aspx：Request.QueryString、Form、Cookies、SeverVaiables等
Php：$_GET、$_POST、$_COOKIE、$_SERVER、$_GlOBAL、$_REQUEST等
Jsp：request.getParameter、request.getCookies 等
客户端提交的变量一般从以上函数获得，严格限制提交的数据长度、类型、字符集。

[2]严格控制输出：
HtmlEncode：对一段指定的字符串应用HTML编码。
UrlEncode：对一段指定的字符串URL编码。
xm lEncode：将在xm l中使用的输入字符串编码。
xm lAttributeEncode：将在xm l属性中使用的输入字符串编码
escape：函数可对字符串进行编码
decodeURIComponent：返回统一资源标识符的一个已编码组件的非编码形式。
encodeURI：将文本字符串编码为一个有效的统一资源标识符 (URI)。