这篇文章主要为大家介绍了防止xss攻击的有效方法，何为xss攻击，我们可以采取什么样的措施去御防xss攻击，感兴趣的小伙伴们可以参考一下

最近，有个项目突然接到总部的安全漏洞报告，查看后知道是XSS攻击。

问题描述：

在页面上有个隐藏域：

XML/HTML Code复制内容到剪贴板   

当前页面提交到Controller时，未对action属性做任何处理，直接又回传到页面上

如果此时action被用户恶意修改为：***"alert(1);"***

此时当页面刷新时将执行alert(1)，虽然错误不严重，但是任何安全隐患都应受到重视。

解决思路：

该问题是由于对用户输入数据（隐藏域）未做任何处理，导致非法数据被执行，那么解决该问题的核心思路就是对用户数据做严格处理，对任何页面传递的数据都不应过分信任，处理方法如下：

1.在页面上对action参数做转义处理，${action?html}（前端技术采用freemarker），但是此种方法只能对单个属性有效，如果此时项目处于维护期且有大量此种问题，修复的难度较大且不便于统一维护

2.在服务端对用户数据做转义处理，此时需要创建一个filter，对request进行二次封装，核心代码如下：

Java Code复制内容到剪贴板 import javax.servlet.http.HttpServletRequest;    import javax.servlet.http.HttpServletRequestWrapper;         import org.apache.commons.lang3.StringEscapeUtils;         public class XssRequestWrapper extends HttpServletRequestWrapper {             public XssRequestWrapper(HttpServletRequest request) {            super(request);        }             public String getParameter(String name) {            String value = super.getParameter(name);            if (value == null) {                return null;            }            return StringEscapeUtils.escapeHtml4(value);        }             public String[] getParameterValues(String name) {            String[] values = super.getParameterValues(name);            if (values == null) {                return null;            }            String[] newValues = new String[values.length];            for (int i = 0; i