springmvc 防止XSS攻击

XSS攻击，即Cross Site Script，跨脚本攻击，往web页面注入html代码或者script代码，造成页面混乱。

spring mvc框架中，有很多编辑器，每个编辑器有不同的作用，防止XSS攻击，就用到PropertyEditorSupport编辑器

项目中继承该类，写一个StringEscapeEditor类防止脚本或者html代码

public class StringEscapeEditor extends PropertyEditorSupport {


private boolean escapeHTML;// 编码HTML
private boolean escapeJavaScript;// 编码javascript


public StringEscapeEditor() {
super();
}


public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript) {
super();
this.escapeHTML = escapeHTML;
this.escapeJavaScript = escapeJavaScript;
}


@Override
public String getAsText() {
Object value = getValue();
return value != null ? value.toString() : "";
}


@Override
public void setAsText(String text) throws IllegalArgumentException {
if (text == null) {
setValue(null);
} else {
String value = text;
if (escapeHTML) {
value = HtmlUtils.htmlEscape(value);
System.out.println("value:"+value);
}
if (escapeJavaScript) {
value = JavaScriptUtils.javaScriptEscape(value);
System.out.println("value:"+value);
}
setValue(value);
}
}

然后绑定控制层就ok了，

在basecontroller中

@Controller
@RequestMapping("/baseController")
public class BaseController {


@InitBinder
public void initBinder(ServletRequestDataBinder binder) {
/**
* 自动转换日期类型的字段格式
*/
binder.registerCustomEditor(Date.class, new CustomDateEditor(new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"), true));

/**
* 防止XSS攻击
*/
binder.registerCustomEditor(String.class, new StringEscapeEditor(true, false));

}

其他控制层继承这个basecontroller就可以防止XSS攻击了。

不过只是post方式有效，get方式就没办法了