Javascript 如何解决JSF中AJAX请求的跨端脚本

我一直在努力寻找一种解决方案，用于AJAX请求的跨端脚本编写

这就是流程：

1屏幕上有一个文本框，我们在其中使用RichEditor

2在文本框中，您可以单击“编辑”按钮，该按钮将显示一个新面板

3单击后，新面板将打开，您可以在新面板中编辑并更新文本

4在新面板中有一个“继续”按钮，如果单击它，将更新支持bean中的文本，关闭新面板，并刷新原始面板中的文本区域

当单击continue（继续）时，onComplete（完成）会隐藏新面板或当前面板，并重新启动原始面板。有一个AJAX请求。因此，当我们发送该请求时，我们的安全团队使用Paros工具插入恶意脚本警报“XSS攻击！”在上面。由于这是一个AJAX请求，并且它通过AJAX引擎获得响应，因此我无法确定如何过滤或确保脚本不会在脚本错误时运行

可能，Javascript需要在AJAX响应之后立即运行，但我不确定如何做到这一点。基本上，如果有人使用外部工具将恶意代码放入AJAX请求中，我的目标是避免跨端脚本编写

我们正在使用JSF1.2和RichFaces

以下是原始面板的代码片段：

以下是打开的新面板的代码片段：

---

可以为文本注入JavaScript值，但这不是安全漏洞。如果我重新加载数据并在客户端执行脚本，我会担心，如果使用得当，JSF不会发生这种情况。或者您正在询问如何清理文本数据？我可以清理它，但如上所述的问题是，可以使用外部工具在AJAX请求中插入Javascript代码。那么我将如何在JSF中解决这个问题呢？同样，这不是问题。你甚至可以在谷歌搜索查询中这样做。当在浏览器中加载数据后执行该段javascript代码时，就会出现该漏洞。如果出现这种情况，那么开始担心，如果没有，那么什么也不做或建立规则来删除服务器端的所有恶意代码。脚本正在浏览器中执行，这就是为什么我要问这个问题。哦，好的。正如我在第一篇评论中所说的，如果您正确使用JSF，就不应该发生这种情况。页面的哪个字段或部分是加载恶意代码的字段或部分？