所有动态内容在渲染到页面前自动进行HTML实体编码，恶意脚本代码被转化为无害的文本字符串显示而非执行。

严格的Content-Security-Policy头限制页面只能加载指定来源的脚本和资源，外部注入的恶意脚本因来源不在白名单而被浏览器直接拒绝。

会话Cookie设置HttpOnly防止脚本读取、Secure限制仅HTTPS传输、SameSite阻止跨站携带——三重属性让会话劫持无从下手。