## 什么是XSS攻擊
* XSS又稱為CSS(Cross SiteScript),跨站腳本攻擊。其原理是攻擊者向有XSS漏洞的網站中“嵌入”惡意的HTML代碼,當其他用戶瀏覽該網站時,這段HTML代碼會自動執行,從而達到攻擊的目的。如:盜取用戶Cookie、重定向到其他網站等。
* 理論上,所有可以輸入的地方沒有對輸入數據進行處理的話,都會存在XSS漏洞。漏洞的厲害取決于攻擊代碼的能力。
## 如何配置
* 比如某些接口API,請求參數是xml類型,帶有<>標記,會被xss攔截過濾
* 針對這種情況,可以配置富文本過濾,具體配置如下
~~~
jpower:
xss:
# 是否開啟富文本過濾(如果開啟,content參數名和以WithHtml結尾得參數名將不進行XSS過濾,默認位關閉)
isIncludeRichText: true
~~~
* 富文本過濾默認為關閉需要配置開啟,開啟后`content`參數名和以`WithHtml`結尾得參數名都不會進行XSS過濾。
* 如果我們不止一個參數或者還有其他參數,我們可以對接口進行過濾,具體配置如下
~~~
jpower:
xss:
# XSS不過濾得接口路徑,支持通配符模式
excludes:
- /html/**
- /weixin
~~~
* 配置這個后,會對配置過的接口不進行XSS過濾,支持通配符配置。
## 注意
* XSS過濾在JPower工程中會直接啟用,并默認進行SQL防注入過濾。
- 序言
- 開發環境準備
- 環境要求
- 環境安裝
- 基礎環境安裝
- Nacos安裝
- Sentinel安裝
- 插件安裝
- 導入工程
- 運行工程
- 工程測試
- JPower特性
- 系統啟動器
- 多終端令牌認證
- 系統鑒權
- 鑒權API
- 鑒權配置
- API權限配置
- 接口放行配置
- 數據權限
- redis緩存
- 動態網關
- 聚合文檔
- SaaS多租戶
- 概念
- 使用
- Xss防注入
- 日志記錄
- 操作日志&錯誤日志
- SQL打印
- feign請求日志&配置
- gateway日志
- 服務日志打印
- 導入導出
- 字典查詢
- 系統文件上傳下載
- 接口監控
- 代碼生成器
- 配置文件共享
- Mybatis過濾器
- 配置說明
- 高級實戰
- nacos動態配置
- Seata分布式事務
- 簡介
- docker啟動
- 微服務配置
- 微服務遠程調用
- 聲明式服務調用 Feign
- 熔斷機制 Sentinel
- sentinel流控
- 簡介
- 微服務配置
- 配置nacos對接
- APM監控&鏈路追蹤
- 簡介
- 安裝
- 微服務接入
- SpringBootAdmin監控
- ELK分布式日志追蹤系統
- ELK簡介
- ELK一鍵部署
- 微服務日志對接ELK
- JPower-Chat
- 配置說明
- 生產部署
- docker部署
- docker安裝
- docker-compose安裝
- harbor安裝
- 部署步驟
- 版本升級
- 1.0.1升級到2.0.0
- 2.0.0升級到2.0.2
- 2.0.2升級2.1.0
- 2.1.0升級到2.1.1
- 2.1.1升級到2.1.2
- 2.1.2升級到2.1.4