为什么装饰request可以实现xss防护?
在提到问题之前,我们先来了解一下xss保护。xss(跨站脚本)攻击是一种常见的web安全漏洞,允许攻击者在目标网站上注入恶意脚本。为了防止xss攻击,可以在请求上实施一个中间层,对请求中的数据进行验证和过滤。
回到你的问题,“装饰”请求可以通过xsshttpservletrequestwrapper类来实现。这个类继承了httpservletrequest类,重写了getheader、getparameter等方法,在这些方法中对输入数据进行验证和过滤。
虽然在装饰请求时没有直接调用getheader等方法,但它会在请求被传递到过滤器链时被调用。当过滤器链中的所有过滤器都执行完后,action中获得的请求就已经被包装过了。
例如:
chain.doFilter(request, response);
在这个例子中,wrap后的request被传递给了过滤器链,并且在所有过滤器执行完后,action会得到包装后的request。你可以通过断点调试来验证这一点。
