Web安全问题：Xss攻击及解决方法

参考：蚂蚁课堂

什么是Xss攻击？

首先，这个词实际上是CSS（Cross Site Scripting），但它与CSS同名。所以名字是XSS。

             ——摘自百度百科  https://baijiahao.baidu.com/sid=1618267672561552800&wfr=spider&for=pc

其实就是使用Javascript脚本注入进行攻击

例如在提交表单后，展示到另一个页面，可能会受到XSS脚本注入，读取本地cookie远程发送给黑客服务器端。

Demo：

​<script>alert('这是黑客攻击')</script>

如何防止Xss攻击

通过装饰类转换成Html代码

把上方的Demo代码通过装饰类转换成如下html元素代码

<script>alert('这是黑客攻击')</script>

1. 创建修饰类，重写getParameter方法

public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {

	HttpServletRequest request;

	public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {
		super(request);
		this.request = request;
	}

	// 重写getParameter方法
	@Override
	public String getParameter(String name) {
		String value = request.getParameter(name);
		System.out.println("name: " + name + "," + value);
		if (!StringUtils.isEmpty(value)) {
			// 转换html
			value = StringEscapeUtils.escapeHtml4(value);
		}
		return value;
	}
}

2. 创建过滤器拦截，需要重写doFilter方法

        @Override
        public void init(FilterConfig filterConfig) throws ServletException {

	}
        @Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		// 拦截request请求
		HttpServletRequest req = (HttpServletRequest) request;
		// 创建修饰类
		XssAndSqlHttpServletRequestWrapper xssAndSqlWrapper = new XssAndSqlHttpServletRequestWrapper(req);
		// 不返回就不放行
		chain.doFilter(xssAndSqlWrapper, response);
	}
        @Override
	public void destroy() {

	}

3. 配置filter（注解配置，也可以直接在web.xml写）

@WebFilter(filterName = "xssFilter", urlPatterns = "/*")

4. 如果是SpringBoot项目，记得加 @ServletComponentScan 注解