hello world！

今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞，下面的filter主要是解决防止SQL注入和XSS攻击一个是Filter负责将请求的request包装一下。一个是request包装器，负责过滤掉非法的字符。将这个过滤器配置上以后，世界总算清净多了。。代码如下：[java] view plain copyimport

对web安全方面的知识非常薄弱，这篇文章把Xss跨站攻击和sql注入的相关知识整理了下，希望大家多多提意见。对于防止sql注入发生，我只用过简单拼接字符串的注入及参数化查询，可以说没什么好经验，为避免后知后觉的犯下大错，专门参考大量前辈们的心得，小小的总结一下，欢迎大家拍砖啊一、跨站脚本攻击(XSS)跨站脚本攻击的原理XSS又叫CSS (Cross Site Script) ，

前言上篇文章中提到了 XSS 攻击，而且，也从几个方面介绍了 XSS 攻击带来的严重影响。那么，这篇文章中，主要是针对 XSS 攻击做一个基本的防御，看看可以通过几种方式来修复这个特别常见的安全漏洞。由于公司用的是 SpringMVC，因此，这次就主要基于 SpringMVC 来解决这些漏洞。当然，其实这些解决方案都是大同小异，对于什么环境来说根本无所谓。了

序说到 XSS 攻击，前边已经有两篇文章在讲这个事了，这次又拿出来说，主要是针对最近工作中的一些新的问题。那么之前是怎么解决这个问题的呢？为什么又要换解决方案？下面就详细的跟大家分享一下。旧方案公司的测试团队发现这个问题之后，就要求尽快的解决，在网上查了很多相关的资料，也翻阅了基本安全方面的书，基于 XSS 的攻击原理，自己写了一个

一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站

摘要： 关于XSS问题的处理，此前在博客 http://blog.youkuaiyun.com/catoop/article/details/50338259 中写过处理方法。刚好最近朋友有问到“在Struts2中按文章中那样处理无效”，后来验证了下发现，Struts2 对请求的二次封装有所不同，于是针对Struts.关于XSS问题的处理，此前在博客 http://blog.youkuaiyun.com/ca