为什么把request装饰一下,就能实现Xss防护?

作者站长头像
站长
· 阅读数 10

为什么这里把req装饰一下,就能实现Xss防护呢?这里只是调用构造方法呀?没有调用XssHttpServletRequestWrapper里面的getHeader等方法呀?为什么把request装饰一下,就能实现Xss防护?为什么把request装饰一下,就能实现Xss防护?参考:https://juejin.cn/post/6966596396069683207#comment

回复
1个回答
avatar
test
2024-07-01

因为最后你把这个包装过的 request 传给了下一个过滤器了。

chain.doFilter(request, response);

等到所有过滤器都执行完,Action 里拿到的 Request 就已经是这个包装类型了(前提是你没在后面的过滤器里又给它“解包”了)。你可以自己尝试断点调试看看。

回复
likes
适合作为回答的
  • 经过验证的有效解决办法
  • 自己的经验指引,对解决问题有帮助
  • 遵循 Markdown 语法排版,代码语义正确
不该作为回答的
  • 询问内容细节或回复楼层
  • 与题目无关的内容
  • “赞”“顶”“同问”“看手册”“解决了没”等毫无意义的内容