java代码扫描报xss java调用扫描仪

Struct2+Spring 架构JavaWeb项目，出现xss跨站脚本攻击漏洞解决方案？？

没用到富文本的话可以用spring里的HtmlUtils.htmlEscape(string str)来对parameter转码。是用filter还是其他方式都可以

创新互联公司专注于从化企业网站建设,成都响应式网站建设,购物商城网站建设。从化网站建设公司,为从化等地区提供建站服务。全流程定制制作，专业设计，全程项目跟踪，创新互联公司专业和态度为您提供的服务

如何在jetty服务器层面解决XSS漏洞？

一，给cookie的属性设置为httponly

这样能够避免js读取Cookie信息（设置后有助于缓解XSS，但是XSS除了劫持Cookie之外，还可以模拟用户的身份进行操作）

二，进行输入检查

如果仅仅在客户端通过JS来做输入校验，有可能会被攻击者绕过，WEB开发中的普遍做法是同时在客户端和服务端做校验。这种输入检查的方式也称之为XSS Filter。

三，输出检查

一般说来，除了富文本输出之外，在变量输出到HTML页面时，可以使用编码或者转义的方式来防御XSS攻击。

四，防御DOM BasedXSS

前面提到的集中方法，对于这种类型不太适用，需要特别对待，那如何才能防御呢？

首先是$var输出到script是，应该执行一次javasriptEncode，其次在doument.write输出到HTML页面时，如果是输出到事件或者脚本，可以再做一次javaScriptEncode，如果是输出到HTML内容或者属性，则可以做一次HtmlEncode。

上面提到的这些防御方法都属于安全生产的环节，也就是说实在开发同学写代码的时候要特别注意，这种是否做的规范，可以通过工具扫描代码的方式来实现，也就是白盒测试，如果代码没有做输入或者输出检查，则发报告提示开发来进行修改。但是有些场景白盒没法覆盖到，例如输出jsonp类型的接口，对于callback参数的原味输出，白盒有时候就扫不出来，这时候，可以通过黑盒测试工具，模拟入参的各种情况，也就是穷举，来构造，如果发生了XSS请求，则发出报告即可。

用JAVA做一个网站，现在要做防止XSS攻击，请问怎么防止这种攻击

过滤特定符号pre t="code" l="java" public static String guolv(String a) {

a = a.replaceAll("%22", "");

a = a.replaceAll("%27", "");

a = a.replaceAll("%3E", "");

a = a.replaceAll("%3e", "");

a = a.replaceAll("%3C", "");

a = a.replaceAll("%3c", "");

a = a.replaceAll("", "");

a = a.replaceAll("", "");

a = a.replaceAll("\"", "");

a = a.replaceAll("'", "");

a = a.replaceAll("\\+", "");

a = a.replaceAll("\\(", "");

a = a.replaceAll("\\)", "");

a = a.replaceAll(" and ", "");

a = a.replaceAll(" or ", "");

a = a.replaceAll(" 1=1 ", "");

return a;

}