背景
项目上线后,进行了安全扫描,扫描后需要进行sxx漏洞进行修复,官方给出的解决方案是添加过滤器。
<!-- 过滤特殊字符,防止跨站点脚本攻击 -->
<filter>
<filter-name>XSSandSqlFilter</filter-name>
<filter-class>com.esint.ztb.file.XSSandSqlFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XSSandSqlFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
跟进XSSandSqlFilter 源码
解决办法
1.不太负责任的解决办法就是按照上面的图示把这几个转移去掉
2.可以不需要上传json的接口,放在一个集合中不要走过滤器
3.推荐:前台把json数据加密发送,后台解密后再解析json。