一、业务描述 项目有个文件下载的功能,是从数据库读取文件路径,再根据路径获取本地的文件流响应给浏览器进行下载,当然是随手一个复制粘贴,然后就被扫描出了存储型XSS漏洞。 怎么看都很正常就是过不了扫描,搜了一些歪门邪道的方法都没用,差点就把每个字节数组拿出来过滤过滤了。 二、解决方法 我用的是org.apache.poi下的一个工具包,org.apache.commons下好像也有,属于瞎猫碰到死耗子,希望对你有帮助。 不想导这个包的话,这是它的实现,内网电脑不方便复制,搜一下应该有类似的方法。