本发明公开了一种网站跨站脚本攻击的防御方法，其特征在于，包括步骤1：分析网站业务逻辑，判断请求是否支持脚本代码输入，根据业务层面的需要支持特定的请求存储代码，输出到页面，用以达到完成业务逻辑，根据请求来配置白名单；根据URL进行模糊匹配和精确匹配，根据后端接口中的controller类名进行匹配，步骤2：分析前端页面交互，判断输入数据的交互是否需要经过服务端处理，步骤3：后端程序改造，从程序上对来自前端页面的请求参数进行处理。可以达到能灵活、便捷地防御跨站脚本攻击，提高网站的安全性，保证用户的信息安全，降低用户信息泄露的风险，提升用户的体验的效果。同时简单灵活的配置更能贴合业务逻辑的需要。