XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。
跨站脚本攻击的危害:窃取cookie、放蠕虫、网站钓鱼 ...
跨站脚本攻击的分类主要有:存储型XSS、反射型XSS、DOM型XSS
maven项目解决方式需要配置如下:
一、web.xml
<!--防Xss start-->
<filter>
<filter-name>XSSChecker</filter-name>
<filter-class>com.watchme.login.filter.RedSwallowFilterNew</filter-class>
<init-param>
<param-name>redswallow.filter.plugin.htmlescapechar.config.includeParamPatterns</param-name>
<param-value>service,staffId,STAFF_ID,cond_SERIAL_NUMBER,default_pagin_pagesize,EXEC_TIME,FINISH_DATE,sp,Listener,CLIENT_WIDTH,lh_type,listener,ROUTE_VALUE,contextCode,_tradeBase
</param-value>
</init-param>
<init-param>
<param-name>redswallow.filter.charset</param-name>
<param-value>GBK</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>XSSChecker</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter>
<filter-name>CharacterFilter</filter-name>
<filter-class>com.watchme.login.filter.CharacterFilter</filter-class>
<init-param>
<param-name>unCheckURLS</param-name>
<param-value>
(/.*hotspot/saveHotspot*$)|(/.*product/editProductManager*$)|(/.*product/addProductManager*$)
|(/.*product/addMarketActivity*$)|(/.*product/editProductManager*$)|(/.*product/addProjectCase*$)
|(/.*product/editProductManager*$) |(/.*product/productSearchDetail*$)|(/.*product/editProductInfo*$)
|(/.*\.js$)|(/.*\.css$)|(/.*\.png$)|(/.*\.jpg$)|(/.*\.gif$)|(/.*\.ico$)
</param-value>
</init-param>
</filter>
<!--防Xss end-->
二、pom.xml
<!--防Xss-->
<dependency>
<groupId>org.redswallow</groupId>
<artifactId>redswallow</artifactId>
<version>0.9.1</version>
</dependency>
java类与jar下载地址:点击打开链接