Web.xml配置过滤器,并指的要过滤和替换的字符:
过滤器的filter方法,对传入的HttpServletRequest对象进行了修改
具体过滤在XssHttpServletRequestWrapper类中实现,看看XssHttpServletRequestWrapper类都做了什么:
在构造方法中获取要过滤和替换的字符并分割成字符串数组,分隔符模式是@符号:
对原生的getQueryString、getParameter、getParameterValues、getHeader方法全部进行了重载,并使用xssEncode对返回值进行处理,
接下来看xssEncode做了什么,也是最关键的地方:
可以看出他只是对字符进行了替换:把半角字符'@"@@#@:@%@>替换为全角字符‘@“@\@#@:@%@>(这里@符为分隔符)。