Spring MVC 如何防止XSS、SQL注入攻击

在Web项目中，一般须要处理XSS,SQL注入攻击，解决这个问题有两个思路：

　　在数据进入数据库以前对非法字符进行转义，在更新和显示的时候将非法字符还原

　　在显示的时候对非法字符进行转义

　　若是项目还处在起步阶段，建议使用第二种，直接使用jstl的标签便可解决非法字符的问题。固然，对于Javascript还须要本身处理一下，写一个方法，在解析从服务器端获取的数据时执行如下escapeHTML()便可。

　　附：Javascript方法：

　　String.prototype.escapeHTML = function () {

　　return this.replace(/&/g, ‘&’).replace(/>/g, ‘>’).replace(/

　　}

　　若是项目已经开发完成了，又不想大批量改动页面的话，能够采用第一种方法，此时须要借助Spring MVC的@InitBinder以及org.apache.commons.lang.PropertyEditorSupport、org.apache.commons.lang.StringEscapeUtils

　　public class StringEscapeEditor extends PropertyEditorSupport {

　　private boolean escapeHTML;

　　private boolean escapeJavaScript;

　　private boolean escapeSQL;

　　public StringEscapeEditor() { super(); }

　　public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript, boolean escapeSQL) {

　　super();

　　this.escapeHTML = escapeHTML;

　　this.escapeJavaScript = escapeJavaScript;

　　this.escapeSQL = escapeSQL;

　　}

　　@Override

　　public void setAsText(String text) {

　　if (text == null) {

　　setValue(null);

　　} else {

　　String value = text;

　　if (escapeHTML) { value = StringEscapeUtils.escapeHtml(value); }

　　if (escapeJavaScript) { value = StringEscapeUtils.escapeJavaScript(value); }

　　if (escapeSQL) { value = StringEscapeUtils.escapeSql(value); } setValue(value); }

　　}

　　@Override

　　public String getAsText() { Object value = getValue(); return value != null ? value.toString() : “”; }

　　}

　　在使用StringEscapeUtils时须要注意escapeHtml和escapeJavascript方法会把中文字符转换成Unicode编码，若是经过标签或者EL表达式展现时，可以正确还原，可是若是使用相似于Ext这样的前端组件来展现这部份内容时，不能正常还原，这也是我为何放弃了第一种方法，直接使用第二种方法的缘由。

　　在上面咱们作了一个EscapeEditor，下面还要将这个Editor和Spring的Controller绑定，使服务器端接收到数据以后可以自动转移特殊字符。

　　下面咱们在@Controller中注册@InitBinder

　　@InitBinder

　　public void initBinder(WebDataBinder binder) {

　　binder.registerCustomEditor(String.class, new StringEscapeEditor(false, false, false));

　　}

　　这个方法能够直接放到abstract Controller类中，这样子每一个Controller实例都可以拥有该方法。至此第二种方法完成，可是在还原的方法暂时尚未。O(∩_∩)O…原文博主：http://blog.sina.com.cn/s/blog_7a9c22c701018cy8.html