java XSS预防，最少实现

在我们的项目中，为了防止XSS，我们添加了一个过滤器（HttpServletFilter），它可以简单地避开所有出现的“<；”以及“>；”在Json（包装用户输入）中，例如：

json = json.replace("<", "&lt;").replace(">", "&gt;");

问题是：以上是否足以保证XSS永远不会发生

或者（换句话说）你能提供一个用户输入的例子，它会在我们的系统中导致类似XSS的行为吗

更新：多亏了一些有用的答案，我知道如果用户输入被用作href属性的源或直接在javascript中使用，XSS仍然是可能的。 例如，如果三角形括号已经出现在屏幕上，则在潜在用户输入外观周围的位置

但我们从未以这种方式使用用户输入数据。 还有其他建议吗