拦截器可以获取IOC容器中的各个bean，而过滤器就不行，这点很重要，在拦截器里注入一个service，可以调用业务逻辑。过滤方法中新建一个request过滤对象，以便可以对request的参数进行更改(过滤)

需要有一个账号，发送邮件到该账号，然后通过webmail来浏览各个邮件。如果弹出一个对话框，显示"XSS"，那么意味着webmail系统含有漏洞。同时要尝试使用不同浏览器。一些payload在一种浏览器中工作但是在另一种浏览器中不工作。

本文将会着重介绍防御XSS攻击的一些原则，需要读者对于XSS有所了解，至少知道XSS漏洞的基本原理，如果您对此不是特别清楚，请参考这两篇文章：《Stored and Reflected XSS Attack》《DOM Based XSS》。攻击者可以利用X

– &、#、%、?如<script>、<img>、<iframe>……

XSS 全称 跨站脚本攻击， 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本, 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的. 比如获取用户的Cookie，导航到恶意网站,携带木马等。作为测试人员，需要了解XSS的原理

一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法.跨站脚本攻击是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。通过XSS可以比较容易地修改用户数据、窃取用户信息，以及造成其

action=printable&tid=15267 2/6 perl -e ‘print “<IMG SRC=java\0script:alert>”;’ > out 空字符2,空字符在国内基本没效果.因为没有地方可以利用 pe

跨站脚本攻击，为不和层叠样式表的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。基于filter拦截,将特殊字符替换为h