struts2 xss防御

在 Struts2 中，可以采取以下措施来防御 XSS 攻击：

1. 使用 Struts2 自带的标签库，例如 s:property 标签，它会自动进行 HTML 转义，避免输出的内容被执行。

2. 对于需要用户输入的表单数据，可以在服务器端进行过滤和转义，例如使用 Apache Commons Lang 库中的 StringEscapeUtils.escapeHtml4() 方法。

3. 在 Struts2 的拦截器中增加一个输入过滤的拦截器，对于用户输入的数据进行过滤和转义，避免恶意脚本被执行。

4. 在 Struts2 的配置文件中增加全局的输入过滤器，在所有的请求参数都经过过滤器处理之后再传递给 Action 处理。

需要注意的是，单纯地使用转义并不能完全避免 XSS 攻击，还需要对输入数据进行校验和过滤，只有综合使用多种防御措施才能有效地防御 XSS 攻击。

相关问题

AbstractInterceptor实现xss防御

可以通过实现 AbstractInterceptor 类，来在 Struts2 中进行 XSS 防御。

具体实现步骤如下：

1. 创建一个类，继承 AbstractInterceptor 类，并重写 intercept() 方法。

public class XSSInterceptor extends AbstractInterceptor {

    @Override
    public String intercept(ActionInvocation invocation) throws Exception {
        // 进行 XSS 防御处理
        return invocation.invoke();
    }
}

2. 在 intercept() 方法中，对请求参数进行 XSS 防御处理。可以使用 Apache Commons Lang 库中的 StringEscapeUtils.escapeHtml4() 方法来进行 HTML 转义。

public class XSSInterceptor extends AbstractInterceptor {

    @Override
    public String intercept(ActionInvocation invocation) throws Exception {
        // 获取请求参数
        HttpServletRequest request = ServletActionContext.getRequest();
        Map<String, String[]> parameterMap = request.getParameterMap();
        
        // 对请求参数进行 XSS 防御处理
        for (Map.Entry<String, String[]> entry : parameterMap.entrySet()) {
            String[] values = entry.getValue();
            for (int i = 0; i < values.length; i++) {
                values[i] = StringEscapeUtils.escapeHtml4(values[i]);
            }
        }
        
        // 执行下一个拦截器或 Action
        return invocation.invoke();
    }
}

3. 在 struts.xml 配置文件中，将拦截器添加到需要进行 XSS 防御的 Action 中。

<action name="example" class="com.example.ExampleAction">
    <interceptor-ref name="xssInterceptor"/>
    <result>example.jsp</result>
</action>

<interceptors>
    <interceptor name="xssInterceptor" class="com.example.XSSInterceptor"/>
    <interceptor-stack name="defaultStack">
        <interceptor-ref name="xssInterceptor"/>
        <interceptor-ref name="defaultStack"/>
    </interceptor-stack>
</interceptors>

需要注意的是，拦截器的顺序很重要，XSSInterceptor 应该位于默认的拦截器栈之前，这样才能保证 XSS 防御处理在其他拦截器之前进行。

struts2 filter

Struts2 Filter是一种基于Java Servlet规范的框架特性，它允许开发者在请求进入Action之前或之后添加自定义处理逻辑。Filter是一个拦截器链，可以在请求的生命周期中执行特定的操作，比如数据验证、日志记录、权限控制等。在Struts2中，你可以创建多个Filter，并通过配置文件如`struts.xml`来指定它们的工作顺序和执行条件。

例如，`doPreHandle()`方法通常用于在请求处理前执行操作，而`doPostHandle()`则是在Action方法执行后运行。过滤器的主要组件包括：

1. **FilterConfig**：初始化信息容器，提供应用程序级别的配置。
2. **HttpServletRequestWrapper** 和 `HttpServletResponseWrapper`：对原始请求和响应进行包装，便于在Filter中修改。
3. **FilterChain**：用于传递请求到下一个Filter或Action。

使用Filter的一个常见场景是进行跨站脚本攻击(XSS)防御或JSONP安全检查。