这些规则适用于所有不同类别的XSS跨站脚本攻击，可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS，由于XSS也存在很多特殊情况，因此强烈推荐使用解码库。另外，基于XSS的DOM也可以通过将这些规则运用在客户端的不可信数据上来定位。不可信数据通常是来自HTTP请求的数据，以URL参数、表单字段、标头或者Cookie的形式。不过从安全角度来看，来自数据库、网络服务器和其他来源的数据往往也是不可信的，也就是说，这些数据可能没有完全通过验证。应该始终对不可信数据保持警惕，将其视为包含攻击