漏洞警告：SpringBoot 该如何预防 XSS 攻击 ？？

写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。 XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题，但是我们没有做🙄️ ，也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了，记录一下。

看看问题

XSS 漏洞到底是什么，说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中，用户没有正常输入，而是输入了一段代码：</input><img src=1 onerror=alert1> 这个正常保存没有问题。问题出在了列表查询的时候，上面的代码就生效了，由于图片的地址乱写的，所以这个alert就起作用了来看图。

那根据这个原理，实际上如果没有做任何的限制，有心人就可以为所欲为了。可以在里面嵌入一些关键代码，把你的信息拿走。确实是个很严重的问题。

解决思路

既然是因为输入框中输入了不该输入的东西，那自然就萌生一些想法：

• 校验输入内容，不允许用户输入特殊字符，特殊标签
• 允许用户输入，但是保存的时候将特殊的字符直接替换为空串
• 允许用户输入，将特殊字符转译保存。

第一种方法，特殊字符过滤。既然要过滤特殊字符，那就得自己把所有的特殊字符列出来进行匹配，比较麻烦，而且要定义好什么才是特殊字符？况且用户本身不知道什么是特殊字符。突如其来的报错，会让用户有点摸不着头脑，不是很友好。

第二种方法，特殊字符替换为空串。未免有点太暴力。万一真的需要输入一点特殊的字符，保存完查出来发现少了好多东西，人家以为我们的BUG呢。也不是很好的办法。

第三种办法，特殊字符转译。这个办法不但用户数据不丢失，而且浏览器也不会执行代码。比较符合预期。

那办法确定了，怎么做呢？前端来做还是后端来做？想了想还是要后端来做。毕竟使用切面或者Filter可以一劳永逸。

心路历程

经过抄袭，我发现了一些问题，也渐渐的有了一些理解。下面再说几句废话：

查到的预防XSS攻击的，大多数的流程是：

• 拦截请求
• 重新包装请求
• 重写 HttpServletRequest中的获取参数的方法
• 将获得的参数进行XSS处理
• 拦截器放行