前言 上一篇说到了何为xss攻击,以及xss攻击的分为三类,存储型xss***和***反射型xss,以及***dom型xss***。 由于xss的原理是恶意代码在浏览器执行导致。所以对xss防范的核心理念就是让恶意代码不可执行。其手段有二: 1,过滤输入 2,转义输出 过滤输入(Filtering for XSS) 过滤输入就是输入中的可执行代码标记,比如特殊符号及字样(()<>& script)过滤到,将其去除,或替换成无威胁的字符。 对于基于web的java应用,可以使用filter拦截请求,对请求中的输入参数使用正则匹配特殊,然后进行替换处理 转义输出(