什么是XSS攻击?

XS跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。

举例:一个性签名中,容许200个字符,那么有的用户就会植入H5的<script> 代码,比如常见的一些跳转。这些正常情况会被H5正常展示,但是<script>代码中有 超链接形式的内容,那么用户A在点击你的个性签名的时候,就会被迫跳转到一些页面。这只是一个常见的XSS攻击,反正代码是运行在你的浏览器或者APP中,我可以随意获取你存储前端信息的地方,进而做出一些其他方式的攻击。所以XSS非常危险。

如何预防XSS?

XSS在前端校验是没有任何意义的,如果前端的数据包被截胡、修改,一样会有XSS的攻击。必须在后台中进行校验!

Java提供了一些特定的工具类供我们使用:HtmlUtils.htmlEscape(“加密字符”)。 还有 HtmlUtils.htmlUnescape(“解密字符”)。 即可轻松解决相关的问题产生。