当方struts2で作られたアプリケーションをメンテナンスしているのですが、XSS対策の実装方法に悩んでいます。
もしよければアドバイスをお願いいたします。

実現したい事

hidden属性などに含まれて送信されてきたjavascriptの実行コードを無害化したい。

考えた事

• JSP中でリクエストから取得した値を使用するすべての箇所にエスケープ関数をかませる。

⇒ 色々な所で解決手段として紹介されていますが、修正箇所が多すぎるのでできればやりたくないです。

• サーブレット・フィルタでHTMLをエスケープ処理する

⇒ HTMLをパースしなければいけなかったりするのと、そもそもHTMLを書き換えるために使うなみたいな意見を見ました。

• インターセプタを使ってバリュースタックへの値セット時にエスケープ処理する

⇒ インターセプタをオーバーライドしてエスケープ処理をかませるイメージです。今のところ一番良いのではないかと考えています。