Перед выполнением URL вы можете закодировать URL с помощью функции encodeURI () .
Чтобы предотвратить атаку XSS, вы можете попробовать включить фильтр XSS браузера IE, откройтев настройках Internet Explorer, в зоне безопасности Internet нажмите «Custom level ...», затем включите фильтр XSS.Подробнее о XSS-фильтре см. эту тему .