Проблемы XSS для HTML-элементов управления и параметров запроса

Мне нужно исправить проблемы XSS в моем приложении. Теперь я новичок в JSON и XSS. Я думаю о двух способах атаки - во-первых, через элементы управления вводом html (текстовое поле / область и т. Д.) Или через параметры запроса, которые видны в URL (GET). Пожалуйста, предложите, если я что-то здесь упускаю?

Я думаю использовать AntiSamy (https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project). Я думаю о создании пользовательского тега, который будет содержать значение элементов управления HTML, например

этот класс тэгов фактически будет использовать антисамийство для сканирования html-содержимого. будет ли это заботиться о кодировании любого вредоносного содержимого javascript, введенного в текстовое поле / область, перед отправкой этих параметров классам контроллеров, а затем, в конечном итоге, в базу данных? Или это будет только кодировать контент, который поступает из классов контроллера для визуализации на JSP?

Это правильный подход? Когда мне нужно будет проверить на стороне Java (классы контроллера путем прямой проверки с использованием антисамии) по сравнению с JSP (с новым тегом)?

Кроме того, у меня есть много jsp, которые не имеют прямых полей формы с элементами управления html, но их struture создается динамически, и jsp строка передается в jsp. jsp будет просто иметь: где 'value' будет содержать заключительный jason, который будет отображаться в html (включая html поля). Нужно ли применять решение XSS с использованием антисамирования для строк jason, или данные jason уже защищены от атак XSS, и подобные вещи уже представлены в виде текста в jason? где я должен решить эту проблему для случаев JSON?