身為服務器的開發者，我們時無法相信用戶輸入的任何東西的。比如：金額不能從前端傳過來，使用會失效的token等。當然，用戶除了會傳入一些假數據，也會傳入一些假的腳本，比較出名的就是**xss攻擊** 網上有很多說解決xss攻擊的方法，有很多都是和前端有關，而實際上，在后臺這最后一個防御當中，是最為重要的。 在mall4j這個項目里面，使用了一個過濾器 `XssFilter` ``` public class XssFilter implements Filter { Logger logger = LoggerFactory.getLogger(getClass().getName()); @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException{ HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse resp = (HttpServletResponse) response; logger.info("uri:{}",req.getRequestURI()); // xss 過濾 chain.doFilter(new XssWrapper(req), resp); } } ``` 主要是通過 `new XssWrapper(req)` 這個對象進行一系列的過濾，而 `XssWrapper` 是通過`Jsoup`進行用戶輸入的一系列過濾。畢竟專業的事情要交給專業的人來搞定。就此，我們通過簡單的設置就完成了對**xss攻擊**的防御。 ```java public class XssWrapper extends HttpServletRequestWrapper { /** * Constructs a request object wrapping the given request. * * @param request The request to wrap * @throws IllegalArgumentException if the request is null */ public XssWrapper(HttpServletRequest request) { super(request); } /** * 對數組參數進行特殊字符過濾 */ @Override public String[] getParameterValues(String name) { String[] values = super.getParameterValues(name); if (values == null) { return null; } int count = values.length; String[] encodedValues = new String[count]; for (int i = 0; i < count; i++) { encodedValues[i] = cleanXSS(values[i]); } return encodedValues; } /** * 對參數中特殊字符進行過濾 */ @Override public String getParameter(String name) { String value = super.getParameter(name); if (StrUtil.isBlank(value)) { return value; } return cleanXSS(value); } /** * 獲取attribute,特殊字符過濾 */ @Override public Object getAttribute(String name) { Object value = super.getAttribute(name); if (value instanceof String && StrUtil.isNotBlank((String) value)) { return cleanXSS((String) value); } return value; } /** * 對請求頭部進行特殊字符過濾 */ @Override public String getHeader(String name) { String value = super.getHeader(name); if (StrUtil.isBlank(value)) { return value; } return cleanXSS(value); } private String cleanXSS(String value) { return XssUtil.clean(value); } } ``` 這里面最主要的方法就是`XssUtil.clean(value)` -> `Jsoup.clean(content, "", WHITE_LIST, OUTPUT_SETTINGS)` 這面最總要的是有個白名單列表 `WHITE_LIST` 來自，我們仔細觀察白名單列表會發現這里面是部分攜帶html的部分標簽進入，從而防止xss攻擊 ```java new Whitelist().addTags( "a", "b", "blockquote", "br", "caption", "cite", "code", "col", "colgroup", "dd", "div", "dl", "dt", "em", "h1", "h2", "h3", "h4", "h5", "h6", "i", "img", "li", "ol", "p", "pre", "q", "small", "span", "strike", "strong", "sub", "sup", "table", "tbody", "td", "tfoot", "th", "thead", "tr", "u", "ul") .addAttributes("a", "href", "title") .addAttributes("blockquote", "cite") .addAttributes("col", "span", "width") .addAttributes("colgroup", "span", "width") .addAttributes("img", "align", "alt", "height", "src", "title", "width") .addAttributes("ol", "start", "type") .addAttributes("q", "cite") .addAttributes("table", "summary", "width") .addAttributes("td", "abbr", "axis", "colspan", "rowspan", "width") .addAttributes( "th", "abbr", "axis", "colspan", "rowspan", "scope", "width") .addAttributes("ul", "type") .addProtocols("a", "href", "ftp", "http", "https", "mailto") .addProtocols("blockquote", "cite", "http", "https") .addProtocols("cite", "cite", "http", "https") .addProtocols("img", "src", "http", "https") .addProtocols("q", "cite", "http", "https") ```