拦截器可以获取IOC容器中的各个bean，而过滤器就不行，这点很重要，在拦截器里注入一个service，可以调用业务逻辑。过滤方法中新建一个request过滤对象，以便可以对request的参数进行更改(过滤)

XSS攻击全称是跨站脚本攻击，是经常出现在web应用中的安全漏洞，它允许恶意web用户将代码植入到页面中，比如：sql脚本，srcipt脚本，或者html代码。我的项目是springboot项目，要防御XSS攻击只需要增加一个filter，然后在filte

XSS的本质是在服务器响应数据时，插入可执行代码，这些代码分别插在不同的位置上。XSS跨站漏洞最终形成的原因是对输入与输出没有严格过滤，防御XSS，只要把控好输入与输出点，针对性地过滤，转义，就能杜绝XSS跨站漏洞。XSS攻击是在用户的浏览器上执行的，其形

详情请参考以上网址。希望对大家有所帮助！

Introduction This article provides a simple positive model for preventing XSS using output escaping/encoding properly. While the

Michael Cobb：自上世纪90年代，攻击者就已经开始利用XSS漏洞，并且，最主要的网站都在一定程度上受到过XSS漏洞的影响。与大多数应用层攻击，基于XSS的攻击会攻击应用的用户，而不是应用或服务器。这些攻击的工作原理是注入代码到Web应用的输出。大

跨站脚本攻击是最常见和基本的攻击Web网站的方法。攻击者可以在网页上发布包含攻击性代码的数据，当浏览者看到此网页时，特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以比较容易地修改用户数据、窃取用户信息以及造成其它类型的攻击，例如：CSRF攻击。

php $cookie = $_GET['c']; $ip = getenv ; $time=date; $referer=getenv ; $fp = fopen; fwrite; fclose ?

跨站脚本攻击最大的魅力是通过HTML注入劫持用户的浏览器，任意构造用户当前浏览的HTML内容，甚至可以模拟用户当前的操作。我这里介绍一种新式攻击方法：XSS Phishing，利用这种方式可以直接盗取用户的密码，下面我就拿最近PHPWIND论坛所暴出的XS

受影响系统：McAfee Data Loss Prevention Endpoint <= 9.3.400描述：CVE ID: CVE-2015-2760. McAfee Network Data Loss Prevention可以监控网络流量，防护

受影响系统：Nordex NC2 <= 15描述：CVE ID: CVE-2014-5408. Nordex Control 2是基于Web的SCADA系统，主要用于风能为主的能源行业。NC2 Wind Farm Portal在实现上存在反射性跨站脚

受影响系统：WordPress Pretty Link Lite < 1.5.4描述：--------------------------------------------------------------------------------CV