SpringMVC中XSS防護：僅僅包裝Request對象就能生效的原理是什么？

SpringMVC基于Request包裝器的xss防護機制詳解

本文解答SpringMVC中一個常見的XSS防護疑問：僅需包裝Request對象，為何就能有效攔截XSS攻擊？

代碼中，我們使用自定義的XssHttpservletRequestWrapper類包裝原始的HttpServletRequest對象。 令人疑惑的是，僅僅在構造函數中進行包裝，并沒有直接調用XssHttpServletRequestWrapper的getHeader等方法，XSS防護是如何生效的呢？

答案在于Servlet過濾器的鏈式執行機制。關鍵代碼chain.doFilter(request, response); 將包裝后的request對象傳遞給過濾器鏈中的下一個過濾器。

這個過程至關重要：經過所有過濾器處理后，SpringMVC的Action最終接收到的request對象，正是經過XssHttpServletRequestWrapper包裝后的對象。 因此，Action獲取的請求頭、參數等信息，都已經過XssHttpServletRequestWrapper的過濾處理。 前提是，后續過濾器不會再次替換或“解包”這個request對象。

建議通過斷點調試，觀察過濾器鏈中request對象的類型變化，更直觀地理解這一過程。 您將看到，即使XssHttpServletRequestWrapper的構造方法中未直接調用過濾方法，其作用依然在后續請求處理中體現。