1，使用 spring form 标签

  防 csrf 攻击

2，标明请求方法：RequestMethod.GET,RequestMethod.POST, PATCH, POST, PUT, and DELETE 

  如果不标明，默认以上所有请求类型都会接受处理（面太广），给黑客留下伪造请求的隐患。

3，防 XSS 

1)web.xml中添加

             
      
       defaultHtmlEscape
              
      
       true
          
     

2)在包含form的jsp页面中添加

3）直接在form中的元素中添加

     或
     

4）JSTL输出

     默认escapeXml就为true或${fn:escapeXml(param.nextUrl)}