XSS(跨站脚本)漏洞是一种Web应用程序安全漏洞,常被黑客用来对Web用户发起攻击。下面小编整理了一些资料为大家讲解如何有效防止XSS攻击的方法，希望对你有用!

什么是XSS攻击?

XSS即为跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的特殊目的。

如何安全有效的防止XSS攻击呢?

最近，有个项目突然接到总部的安全漏洞报告，查看后知道是XSS攻击。

问题描述：

在页面上有个隐藏域：

XML/HTML Code 复制内容到剪贴板

<input type = "hidden" id = "action" value = "${action}"/>

当前页面提交到Controller时，未对action属性做任何处理，直接又回传到页面上

如果此时action被用户恶意修改为：***" "***

此时当页面刷新时将执行alert(1)，虽然错误不严重，但是任何安全隐患都应受到重视。

解决思路：

该问题是由于对用户输入数据(隐藏域)未做任何处理，导致非法数据被执行，那么解决该问题的核心思路就是对用户数据做严格处理，对任何页面传递的数据都不应过分信任，处理方法如下：

1.在页面上对action参数做转义处理，${action?html}(前端技术采用freemarker)，但是此种方法只能对单个属性有效，如果此时项目处于维护期且有大量此种问题，修复的难度较大且不便于统一维护

2.在服务端对用户数据做转义处理，此时需要创建一个filter，对request进行二次封装，核心代码如下：

Java Code 复制内容到剪贴板

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang3.StringEscapeUtils;

public class XssRequestWrapper extends HttpServletRequestWrapper {

public XssRequestWrapper(HttpServletRequest request) {

super(request);

}

public String getParameter(String name) {

String value = super.getParameter(name);

if (value == null) {

return null;

}

return StringEscapeUtils.escapeHtml4(value);

}

public String[] getParameterValues(String name) {

String[] values = super.getParameterValues(name);

if (values == null) {

return null;

}

String[] newValues = new String[values.length];

for (int i = 0; i < values.length; i++) {

newValues[i] = StringEscapeUtils.escapeHtml4(values[i]);

}

return newValues;

}

}

XssRequestWrapper是对request进行的二次封装，最核心的作用是对request中的参数进行转义处理(需要用到commons-lang3.jar)

定义filter，核心的代码如下：

Java Code 复制内容到剪贴板

@Override

public void doFilter(ServletRequest request,

ServletResponse response,

FilterChain chain) throws IOException, ServletException {

HttpServletRequest req = (HttpServletRequest) request;

chain.doFilter(new XssRequestWrapper(req), response);

}