Struts2.3 以及 2.5 过滤 xss攻击的一种解决方案

本文链接：https://blog.csdn.net/huplion/article/details/49001151

该博客探讨了Struts 2.3和2.5版本中过滤XSS攻击的方法。在Struts 2.3中，通过拦截器和参数转码来防御；而在Struts 2.5，由于API变化，需要适配新的HttpParameters对象。升级到2.5可能不兼容2.3，但经过测试，XssInterceptor的调整似乎可以应对大多数情况。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Struts 2.3

本方案采用struts2的拦截器过滤，将提交上来的参数转码来解决。
配置struts.xml

<package name="default" namespace="/"
        extends="struts-default, json-default">
        <!-- 配置拦截器 -->
        <interceptors>
            <!-- 定义xss拦截器 -->
            <interceptor name="xssInterceptor" class="...此处填写拦截器类名"></interceptor>
            <!-- 定义一个包含xss拦截的拦截栈 -->
            <interceptor-stack name="myDefault">
                <interceptor-ref name="xssInterceptor"></interceptor-ref>
                <interceptor-ref name="defaultStack"></interceptor-ref>
            </interceptor-stack>
        </interceptors>
        <!-- 这个必须配置，否则拦截器不生效 -->
        <default-interceptor-ref name="myDefault"></default-interceptor-ref>
        <action>
        ...此处省略n个action
        </action>
    </package>

Java代码,拦截器实现类

import java.util.Map;

import org.apache.commons.lang3.StringEscapeUtils;

import com.opensymphony.xwork2.ActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;

public class XssInterceptor extends AbstractInterceptor{

    @Override
    public String intercept(ActionInvocation invocation) throws Exception {
        // TODO Auto-generated method stub
        ActionContext actionContext = invocation.getInvocationContext();
        Map<String, Object> map = actionContext.getParameters();
        for (Map.Entry<String, Object> entry : map.entrySet()) {
            String value =  ((String[])(entry.getValue()))[0];
            entry.setValue(StringEscapeUtils.escapeHtml4(value));//将提交上来的字符串进行转码
            //System.out.println((entry.getValue()));
        }
        return invocation.invoke();
    }
}

Struts 2.5

感谢用户qq_39561487的提问才有了以下的内容：
需要注意的是，根据测试，从Struts2.3升级到Struts2.5并不能平滑升级，也就是说不能向前兼容。
Apache官方修改了invocation.getInvocationContext().getParameters();接口的实现，原来返回的是一个java.util.Map，现在返回了一个org.apache.struts2.dispatcher.HttpParameters类型的对象，总体来说更加合理。
2.5版本的拦截器与2.3版本的差异主要在XssInterceptor.java这个类的intercept方法的具体实现,简单测试了一下，应该问题不大。

public class XssInterceptor extends AbstractInterceptor {

    @Override
    public String intercept(ActionInvocation invocation) throws Exception {
        ActionContext actionContext = invocation.getInvocationContext();
        HttpParameters parameters  = actionContext.getParameters();
        for (Map.Entry<String,Parameter> entry : parameters.entrySet()) {
            if (!entry.getValue().isMultiple() && entry.getValue().isDefined()){
                if (!entry.getValue().getValue().equals(StringEscapeUtils.escapeHtml4(entry.getValue().getValue()))){
                    entry.setValue(new Parameter.Request(entry.getValue().getName(),StringEscapeUtils.escapeHtml4(entry.getValue().getValue())));
                }
            }
        }
        return invocation.invoke();
    }
}