web安全中，xss防御是比较稀疏平常的。在使用springboot中，类似于普通的参数parameter，attribute，header一类的，可以直接使用过滤器来过滤。而前端发送回来的json字符串貌似没那么方便过滤了。一般在springboot中，前端传递json，后端使用@RequestBody来接收；而后端响应json发送至前端，则会使用@ResponseBody。这里考虑用自定义js......