为了防止XSS攻击，可以采取以下解决方法：

1. 对所有查询参数进行URL编码或HTML编码，以确保用户输入的数据不会被解析为HTML代码。可以使用编码函数，如PHP的htmlspecialchars函数或JavaScript的encodeURIComponent函数。

示例代码（PHP）：

$param1 = htmlspecialchars($_GET['param1']);
$param2 = htmlspecialchars($_GET['param2']);

示例代码（JavaScript）：

var param1 = encodeURIComponent(document.getElementById('param1').value);
var param2 = encodeURIComponent(document.getElementById('param2').value);

2. 对所有模型数据进行HTML编码或使用模板引擎，以确保输出到页面的数据不会被解析为可执行的脚本。

示例代码（PHP）：

$modelData = htmlspecialchars($modelData);

示例代码（JavaScript）：

var modelData = document.getElementById('modelData').innerText;
modelData = modelData.replace(/&/g, '&').replace(//g, '>');
document.getElementById('modelData').innerText = modelData;

3. 在路由到动作方法之前，使用过滤器或中间件对请求进行验证和清理。可以使用安全框架提供的过滤器或自定义过滤器对请求参数进行过滤和验证，以防止恶意脚本的注入。

示例代码（ASP.NET MVC）：

public class ValidateInputFilterAttribute : ActionFilterAttribute
{
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        foreach (var param in filterContext.ActionParameters)
        {
            if (param.Value is string)
            {
                filterContext.ActionParameters[param.Key] = SanitizeInput((string)param.Value);
            }
        }
    }

    private string SanitizeInput(string input)
    {
        // 对输入进行过滤和清理
        // ...
        return input;
    }
}

[ValidateInputFilter]
public ActionResult MyAction(string param1, string param2)
{
    // ...
}

通过采取上述措施，可以有效地防止XSS攻击，并确保用户输入的数据不会被误解为可执行的脚本。