XSS攻击 使用输入过滤和输出转码再配合httponly就一定安全吗？

如果页面上有类似于html编辑器之类的东西，那需要再过滤掉一些标签和属性吧，比如<link>,<script> <iframe>标签， 元素事件, image的onerror之类的。
link会改变样式。script标签可以引入有害的js。元素事件和某些属性有执行js代码的能力 （如img的onerror属性）

举个例子
<script src="http://a/danger.js&quot;>
<img onerror="window.location.href='http://danger.com'">

兄弟最近美团技术有针对XSS攻击发布了专栏，你可以去看看，明确的说XSS没有绝得防御的方法, 只能说通过自己代码的规范前后端的共同协作来避免XSS攻击的发生。 希望你可以去看看 那篇文章很有营养,我这里也收藏了具体的预防XSS的方法.希望对你有所帮助。