XSS的攻击手段
利用JavaScript或DOM方式进行攻击,XSS(脚本注入)提交,然后进行页面展示,影响页面的正常结构,还可以做钓鱼网站,来盗取用户的信息。
比如在页面评论 <scirpt> alert("马鲁斯!!") </script> 那么别的用户进来就会弹出 马鲁斯!!
那么评论的是一条 <scirpt> location.href = www.xxx.com </script> 那么就会跳进入这个页面,不会是自己的本页面了。
所以被人可以模仿你完全相同的网站,来跳入钓鱼网站,盗取信息。
XSS攻击的防护
拦截所有请求,将特殊字符转换成html
1.首先创建一个类实现Flter,然后再写上这条代码。
2.创建一个HttpServletRequest类继承HttpServletRequestWrapper。
StringEscapeUtils.escapeHtml4() 方法是 common.lang包里面的
3.把HttpServletRequest类new过去
然后在 web.xml中配置filter过滤器就可以了
原文:https://www.cnblogs.com/llkang/p/12164450.html