在当今的网络应用开发中，安全问题始终是重中之重。Struts2作为一款广泛使用的Java Web应用开发框架，在为开发者提供便利的同时，也面临着各种安全威胁，其中跨站脚本攻击（XSS）就是一种常见且危害较大的攻击方式。本文将详细介绍Struts2环境下XSS防御的策略与实践。

一、XSS攻击概述

XSS（Cross-Site Scripting）即跨站脚本攻击，攻击者通过在目标网站注入恶意脚本，当用户访问该网站时，这些脚本会在用户的浏览器中执行，从而获取用户的敏感信息，如会话令牌、用户登录信息等。XSS攻击主要分为反射型、存储型和DOM型三种类型。

反射型XSS攻击是指攻击者将恶意脚本作为参数发送给目标网站，网站将该参数原样返回给用户浏览器，用户浏览器执行该脚本。存储型XSS攻击则是攻击者将恶意脚本存储在目标网站的数据库中，当其他用户访问包含该恶意脚本的页面时，脚本会在浏览器中执行。DOM型XSS攻击是基于DOM（文档对象模型）的一种攻击方式，攻击者通过修改页面的DOM结构，注入恶意脚本。

二、Struts2环境下XSS攻击的原理

在Struts2环境中，XSS攻击通常是由于开发者在处理用户输入和输出时没有进行严格的过滤和转义，导致恶意脚本被注入到页面中。例如，当用户提交的表单数据包含恶意脚本时，如果Struts2框架直接将该数据输出到页面上，而没有进行任何处理，那么该脚本就会在用户的浏览器中执行。

以下是一个简单的Struts2示例代码，展示了可能存在XSS漏洞的情况：

// Action类
public class XSSAction extends ActionSupport {
    private String input;

    public String getInput() {
        return input;
    }

    public void setInput(String input) {
        this.input = input;
    }

    public String execute() {
        return SUCCESS;
    }
}

// JSP页面
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ taglib uri="/struts-tags" prefix="s"%>
<html>
<body>
    <form action="xss.action" method="post">
        <input type="text" name="input">
        <input type="submit" value="Submit">
    </form>
    <s:property value="input"/>
</body>
</html>

在上述代码中，如果用户在输入框中输入恶意脚本，如 <script>alert('XSS')</script>，当用户提交表单后，该脚本会被直接输出到页面上，并在浏览器中执行。

三、Struts2环境下XSS防御策略

1. 输入验证

输入验证是防御XSS攻击的第一道防线。在Struts2中，可以通过自定义拦截器或使用Struts2内置的验证框架来对用户输入进行验证。例如，可以使用正则表达式来限制用户输入的内容，只允许输入合法的字符。

以下是一个自定义拦截器的示例代码：

import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.Interceptor;

public class XSSInterceptor implements Interceptor {

    @Override
    public void destroy() {
    }

    @Override
    public void init() {
    }

    @Override
    public String intercept(ActionInvocation invocation) throws Exception {
        Object action = invocation.getAction();
        if (action instanceof XSSAction) {
            XSSAction xssAction = (XSSAction) action;
            String input = xssAction.getInput();
            if (input != null && input.matches("[a-zA-Z0-9]+")) {
                return invocation.invoke();
            } else {
                return "error";
            }
        }
        return invocation.invoke();
    }
}

在上述代码中，自定义拦截器会对用户输入的内容进行验证，只允许输入字母和数字。如果输入不符合要求，会返回错误页面。

2. 输出编码

输出编码是防御XSS攻击的关键步骤。在Struts2中，可以使用Struts2标签库的属性来对输出内容进行编码。例如，使用 <s:property escapeHtml="true"/> 可以将输出内容进行HTML编码，将特殊字符转换为HTML实体，从而防止恶意脚本的执行。

修改前面的JSP页面代码如下：

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ taglib uri="/struts-tags" prefix="s"%>
<html>
<body>
    <form action="xss.action" method="post">
        <input type="text" name="input">
        <input type="submit" value="Submit">
    </form>
    <s:property value="input" escapeHtml="true"/>
</body>
</html>

通过设置 escapeHtml="true"，可以确保输出内容中的特殊字符被正确编码，从而避免XSS攻击。

3. HTTP头信息设置

合理设置HTTP头信息也可以增强对XSS攻击的防御能力。例如，设置 Content-Security-Policy（CSP）头信息可以限制页面可以加载的资源，防止恶意脚本的注入。

在Struts2中，可以通过过滤器来设置HTTP头信息。以下是一个简单的过滤器示例代码：

import javax.servlet.*;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class CSPFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setHeader("Content-Security-Policy", "default-src'self'");
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {
    }
}

在上述代码中，设置了 Content-Security-Policy 头信息，只允许从当前域名加载资源，从而防止外部恶意脚本的注入。

四、Struts2环境下XSS防御实践

在实际项目中，为了确保Struts2应用的安全性，需要综合运用上述防御策略。以下是一个完整的实践步骤：

1. 配置自定义拦截器

在 struts.xml 中配置自定义拦截器，并将其应用到需要保护的Action上。

<struts>
    <package name="default" extends="struts-default">
        <interceptors>
            <interceptor name="xssInterceptor" class="com.example.XSSInterceptor"/>
            <interceptor-stack name="xssStack">
                <interceptor-ref name="xssInterceptor"/>
                <interceptor-ref name="defaultStack"/>
            </interceptor-stack>
        </interceptors>
        <default-interceptor-ref name="xssStack"/>
        <action name="xss" class="com.example.XSSAction">
            <result name="success">/xss.jsp</result>
            <result name="error">/error.jsp</result>
        </action>
    </package>
</struts>

2. 确保输出编码

在JSP页面中，使用 Struts2 标签库的属性对输出内容进行编码。

3. 配置HTTP头信息过滤器

在 web.xml 中配置 HTTP 头信息过滤器。

<filter>
    <filter-name>CSPFilter</filter-name>
    <filter-class>com.example.CSPFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>CSPFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

五、总结

XSS攻击是Struts2应用中常见的安全威胁之一，为了确保应用的安全性，开发者需要采取有效的防御策略。通过输入验证、输出编码和合理设置HTTP头信息等方法，可以有效地防止XSS攻击。在实际项目中，需要综合运用这些策略，并不断进行安全测试和漏洞修复，以保障应用的安全稳定运行。

同时，开发者还应该关注最新的安全技术和漏洞信息，及时更新应用的安全防护措施，以应对不断变化的安全威胁。只有这样，才能为用户提供一个安全可靠的网络应用环境。