防止XSS漏洞是保护Web应用程序安全的重要一环，在PHP中，可以采取以下措施来防止XSS攻击：

1、输入验证和过滤

对用户输入进行严格的验证和过滤，确保只接受预期的数据类型和格式。

使用正则表达式或特定的过滤器函数来检查和清理用户输入。

2、输出编码

在将用户输入显示到页面上之前，对其进行适当的编码，常用的编码方式包括HTML实体编码、URL编码等。

使用PHP内置的函数如htmlspecialchars()、urlencode()等来进行编码操作。

3、使用HTTP Only Cookies

将敏感信息（如会话标识符）存储在HTTP Only的Cookie中，这样即使网页被注入恶意脚本，也无法读取该Cookie的值。

通过设置cookie的HttpOnly标志来实现：setcookie("name", "value", time()+3600, "/", "", false, true);

4、使用内容安全策略（CSP）

CSP是一种安全机制，用于限制浏览器加载和执行外部资源，从而减少XSS攻击的风险。

在HTTP响应头中添加ContentSecurityPolicy字段，指定允许加载的资源类型和域名。

5、使用安全的编程实践

避免使用eval()函数来执行用户输入的代码。

对于动态生成的内容，使用参数化查询或预处理语句来防止SQL注入攻击。

相关问题与解答：

问题1：如何在PHP中对用户输入进行验证和过滤？

答：可以使用正则表达式或特定的过滤器函数来验证和过滤用户输入，可以使用filter_var()函数对不同类型的输入进行验证和过滤，如邮箱地址、URL等，也可以编写自定义的验证函数来满足特定需求。

问题2：如何设置HTTP Only Cookie？

答：可以使用setcookie()函数来设置HTTP Only的Cookie，通过设置cookie的HttpOnly标志为true，即可实现该功能，示例代码如下：setcookie("name", "value", time()+3600, "/", "", false, true);