## 什么是XSS攻擊 * XSS又稱為CSS（Cross SiteScript），跨站腳本攻擊。其原理是攻擊者向有XSS漏洞的網站中“嵌入”惡意的HTML代碼，當其他用戶瀏覽該網站時，這段HTML代碼會自動執行，從而達到攻擊的目的。如：盜取用戶Cookie、重定向到其他網站等。 * 理論上，所有可以輸入的地方沒有對輸入數據進行處理的話，都會存在XSS漏洞。漏洞的厲害取決于攻擊代碼的能力。 ## 如何配置 * 比如某些接口API，請求參數是xml類型，帶有<>標記，會被xss攔截過濾 * 針對這種情況，可以配置富文本過濾，具體配置如下 ~~~ jpower: xss: # 是否開啟富文本過濾(如果開啟，content參數名和以WithHtml結尾得參數名將不進行XSS過濾，默認位關閉) isIncludeRichText: true ~~~ * 富文本過濾默認為關閉需要配置開啟，開啟后`content`參數名和以`WithHtml`結尾得參數名都不會進行XSS過濾。 * 如果我們不止一個參數或者還有其他參數，我們可以對接口進行過濾，具體配置如下 ~~~ jpower: xss: # XSS不過濾得接口路徑，支持通配符模式 excludes: - /html/** - /weixin ~~~ * 配置這個后，會對配置過的接口不進行XSS過濾，支持通配符配置。 ## 注意 * XSS過濾在JPower工程中會直接啟用，并默認進行SQL防注入過濾。