参考:蚂蚁课堂
什么是Xss攻击?
首先,这个词实际上是CSS(Cross Site Scripting),但它与CSS同名。所以名字是XSS。
——摘自百度百科 https://baijiahao.baidu.com/sid=1618267672561552800&wfr=spider&for=pc
其实就是使用Javascript脚本注入进行攻击
例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。
Demo:
<script>alert('这是黑客攻击')</script>
如何防止Xss攻击
通过装饰类转换成Html代码
把上方的Demo代码通过装饰类转换成如下html元素代码
<script>alert('这是黑客攻击')</script>
1. 创建修饰类,重写getParameter方法
public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {
HttpServletRequest request;
public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
this.request = request;
}
// 重写getParameter方法
@Override
public String getParameter(String name) {
String value = request.getParameter(name);
System.out.println("name: " + name + "," + value);
if (!StringUtils.isEmpty(value)) {
// 转换html
value = StringEscapeUtils.escapeHtml4(value);
}
return value;
}
}
2. 创建过滤器拦截,需要重写doFilter方法
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
// 拦截request请求
HttpServletRequest req = (HttpServletRequest) request;
// 创建修饰类
XssAndSqlHttpServletRequestWrapper xssAndSqlWrapper = new XssAndSqlHttpServletRequestWrapper(req);
// 不返回就不放行
chain.doFilter(xssAndSqlWrapper, response);
}
@Override
public void destroy() {
}
3. 配置filter(注解配置,也可以直接在web.xml写)
@WebFilter(filterName = "xssFilter", urlPatterns = "/*")
4. 如果是SpringBoot项目,记得加 @ServletComponentScan 注解