在当今数字化时代，网络安全问题日益严峻，XSS（跨站脚本攻击）作为一种常见的Web安全漏洞，对网站和用户的安全构成了严重威胁。Struts2作为一款流行的Java Web开发框架，也面临着XSS攻击的风险。因此，了解并掌握Struts2防止XSS入侵的有效方法至关重要。本文将详细介绍Struts2中防止XSS入侵的多种有效策略。

一、XSS攻击概述

XSS攻击是指攻击者通过在目标网站注入恶意脚本，当用户访问该网站时，这些脚本会在用户的浏览器中执行，从而获取用户的敏感信息，如Cookie、会话令牌等，或者进行其他恶意操作，如篡改页面内容、重定向到恶意网站等。XSS攻击主要分为反射型、存储型和DOM型三种类型。反射型XSS攻击是指攻击者将恶意脚本作为参数传递给目标网站，网站将该参数直接返回给用户的浏览器并执行；存储型XSS攻击是指攻击者将恶意脚本存储在目标网站的数据库中，当其他用户访问包含该恶意脚本的页面时，脚本会在浏览器中执行；DOM型XSS攻击是指攻击者通过修改页面的DOM结构，注入恶意脚本并在浏览器中执行。

二、Struts2中XSS攻击的常见场景

在Struts2应用中，XSS攻击通常发生在用户输入数据被直接输出到页面的场景中。例如，当用户在表单中输入恶意脚本，而应用没有对输入数据进行有效的过滤和转义，直接将其显示在页面上时，就可能引发XSS攻击。另外，在使用Struts2的标签库输出数据时，如果没有进行适当的处理，也可能导致XSS漏洞。

三、Struts2防止XSS入侵的有效方法

1. 输入验证和过滤

输入验证和过滤是防止XSS攻击的第一道防线。在Struts2中，可以通过自定义拦截器或使用Struts2内置的验证机制对用户输入进行验证和过滤。例如，可以使用正则表达式对用户输入进行检查，只允许合法的字符和格式。以下是一个简单的自定义拦截器示例：

import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.Interceptor;
import java.util.regex.Pattern;

public class XSSInterceptor implements Interceptor {
    private static final Pattern SCRIPT_TAG_PATTERN = Pattern.compile("<script(.*?)>(.*?)</script>", Pattern.CASE_INSENSITIVE | Pattern.DOTALL);

    @Override
    public void init() {
    }

    @Override
    public String intercept(ActionInvocation invocation) throws Exception {
        Object action = invocation.getAction();
        if (action instanceof com.opensymphony.xwork2.ActionSupport) {
            com.opensymphony.xwork2.ActionSupport actionSupport = (com.opensymphony.xwork2.ActionSupport) action;
            java.util.Map<String, Object> parameters = invocation.getInvocationContext().getParameters();
            for (java.util.Map.Entry<String, Object> entry : parameters.entrySet()) {
                if (entry.getValue() instanceof String[]) {
                    String[] values = (String[]) entry.getValue();
                    for (int i = 0; i < values.length; i++) {
                        values[i] = filterXSS(values[i]);
                    }
                }
            }
        }
        return invocation.invoke();
    }

    @Override
    public void destroy() {
    }

    private String filterXSS(String value) {
        if (value != null) {
            return SCRIPT_TAG_PATTERN.matcher(value).replaceAll("");
        }
        return value;
    }
}

在struts.xml中配置该拦截器：

<interceptors>
    <interceptor name="xssInterceptor" class="com.example.XSSInterceptor"/>
    <interceptor-stack name="customStack">
        <interceptor-ref name="xssInterceptor"/>
        <interceptor-ref name="defaultStack"/>
    </interceptor-stack>
</interceptors>

<default-interceptor-ref name="customStack"/>

2. 输出编码

除了对输入进行验证和过滤，还需要对输出进行编码，确保输出的数据不会被浏览器解析为脚本。在Struts2中，可以使用JSTL或OGNL的内置函数对输出进行编码。例如，使用JSTL的<c:out>标签对输出进行HTML编码：

<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
<c:out value="${userInput}" escapeXml="true"/>

在Struts2的标签库中，也可以使用escape属性对输出进行编码：

<s:property value="userInput" escape="true"/>

3. 设置HTTP头信息

通过设置HTTP头信息，可以增强浏览器的安全性，防止XSS攻击。例如，设置Content-Security-Policy（CSP）头信息，限制页面可以加载的资源来源，只允许从指定的域名加载脚本和样式表。在Struts2中，可以通过自定义拦截器来设置HTTP头信息：

import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.Interceptor;
import javax.servlet.http.HttpServletResponse;
import org.apache.struts2.ServletActionContext;

public class CSPInterceptor implements Interceptor {
    @Override
    public void init() {
    }

    @Override
    public String intercept(ActionInvocation invocation) throws Exception {
        HttpServletResponse response = ServletActionContext.getResponse();
        response.setHeader("Content-Security-Policy", "default-src 'self'; script-src 'self'");
        return invocation.invoke();
    }

    @Override
    public void destroy() {
    }
}

在struts.xml中配置该拦截器：

<interceptors>
    <interceptor name="cspInterceptor" class="com.example.CSPInterceptor"/>
    <interceptor-stack name="customStack">
        <interceptor-ref name="cspInterceptor"/>
        <interceptor-ref name="defaultStack"/>
    </interceptor-stack>
</interceptors>

<default-interceptor-ref name="customStack"/>

4. 避免使用危险的标签和属性

在Struts2应用中，应避免使用一些危险的标签和属性，如<script>、<iframe>等，以及一些可以执行脚本的属性，如onclick、onload等。如果必须使用这些标签和属性，要确保对其内容进行严格的验证和过滤。

5. 定期更新Struts2框架

Struts2框架的开发者会不断修复已知的安全漏洞，因此定期更新Struts2框架到最新版本可以有效降低XSS攻击的风险。同时，关注Struts2官方的安全公告，及时了解和处理新出现的安全问题。

四、测试和验证

在实现了上述防止XSS入侵的方法后，需要对应用进行测试和验证，确保其安全性。可以使用一些自动化的安全测试工具，如OWASP ZAP、Nessus等，对应用进行全面的安全扫描，检测是否存在XSS漏洞。同时，也可以进行手动测试，尝试输入一些常见的恶意脚本，检查应用是否能够正确处理。

五、总结

防止XSS入侵是Struts2应用开发中不可或缺的一部分。通过输入验证和过滤、输出编码、设置HTTP头信息、避免使用危险的标签和属性以及定期更新框架等方法，可以有效降低Struts2应用遭受XSS攻击的风险。同时，要定期对应用进行安全测试和验证，及时发现和修复潜在的安全漏洞，保障网站和用户的安全。在实际开发中，应将安全意识贯穿于整个开发过程，从源头上预防XSS攻击的发生。