在当今数字化时代，Web应用的安全性至关重要。Struts2作为一个广泛使用的Java Web应用框架，在构建强大而灵活的Web应用方面发挥着重要作用。然而，Struts2应用也面临着各种安全威胁，其中跨站脚本攻击（XSS）是一种常见且具有严重危害的攻击方式。本文将详细介绍强化Struts2应用以抵御XSS攻击的技巧，帮助开发者构建更安全的Web应用。

一、了解XSS攻击

XSS攻击，即跨站脚本攻击，是指攻击者通过在目标网站注入恶意脚本，当用户访问该网站时，恶意脚本会在用户的浏览器中执行，从而获取用户的敏感信息，如Cookie、会话令牌等。XSS攻击主要分为反射型、存储型和DOM型三种类型。

反射型XSS攻击是指攻击者将恶意脚本作为参数嵌入到URL中，当用户点击包含该URL的链接时，服务器会将恶意脚本反射到响应页面中，从而在用户的浏览器中执行。存储型XSS攻击是指攻击者将恶意脚本存储在服务器的数据库中，当其他用户访问包含该恶意脚本的页面时，恶意脚本会在用户的浏览器中执行。DOM型XSS攻击是指攻击者通过修改页面的DOM结构，注入恶意脚本，从而在用户的浏览器中执行。

二、Struts2中XSS攻击的常见场景

在Struts2应用中，XSS攻击的常见场景包括表单输入、URL参数、数据库查询结果等。例如，当用户在表单中输入恶意脚本，服务器没有对输入进行过滤和验证，直接将其显示在页面上，就可能导致XSS攻击。

以下是一个简单的Struts2表单示例：

<form action="submit" method="post">
    <input type="text" name="message" />
    <input type="submit" value="Submit" />
</form>

如果用户在输入框中输入恶意脚本，如 <script>alert('XSS')</script>，服务器没有对输入进行处理，直接将其显示在页面上，当其他用户访问该页面时，就会弹出提示框，这就是一个典型的XSS攻击。

三、抵御XSS攻击的技巧

1. 输入验证和过滤

在Struts2应用中，对用户输入进行验证和过滤是抵御XSS攻击的重要手段。可以使用Struts2的拦截器或自定义验证器来实现输入验证和过滤。

例如，使用Struts2的内置拦截器来验证用户输入：

<action name="submit" class="com.example.SubmitAction">
    <interceptor-ref name="defaultStack" />
    <result name="success">success.jsp</result>
</action>

在Action类中，可以使用正则表达式等方法对用户输入进行过滤：

public class SubmitAction extends ActionSupport {
    private String message;

    public String execute() {
        // 过滤用户输入
        message = message.replaceAll("[<>]", "");
        return SUCCESS;
    }

    public String getMessage() {
        return message;
    }

    public void setMessage(String message) {
        this.message = message;
    }
}

2. 输出编码

在将用户输入显示在页面上时，对输出进行编码是防止XSS攻击的关键。可以使用Struts2的标签库或JSTL的标签来实现输出编码。

例如，使用Struts2的s:property标签进行输出编码：

<s:property value="message" escapeHtml="true" />

使用JSTL的c:out标签进行输出编码：

<c:out value="${message}" escapeXml="true" />

3. 安全的HTTP头设置

设置安全的HTTP头可以帮助浏览器更好地抵御XSS攻击。例如，设置Content-Security-Policy（CSP）头可以限制页面可以加载的资源，从而防止恶意脚本的加载。

在Struts2应用中，可以通过过滤器来设置HTTP头：

import javax.servlet.*;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class SecurityHeaderFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化方法
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        // 设置Content-Security-Policy头
        httpResponse.setHeader("Content-Security-Policy", "default-src'self'");
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {
        // 销毁方法
    }
}

在web.xml中配置过滤器：

<filter>
    <filter-name>SecurityHeaderFilter</filter-name>
    <filter-class>com.example.SecurityHeaderFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>SecurityHeaderFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

4. 避免使用内联脚本和样式

内联脚本和样式容易成为XSS攻击的目标，因此应尽量避免使用。可以将脚本和样式分离到外部文件中，并通过安全的方式加载。

例如，将脚本分离到外部文件中：

<script src="script.js"></script>

将样式分离到外部文件中：

<link rel="stylesheet" href="style.css">

四、测试和监控

对Struts2应用进行定期的安全测试和监控是确保应用安全的重要环节。可以使用专业的安全测试工具，如OWASP ZAP、Burp Suite等，对应用进行漏洞扫描。

同时，建立日志监控系统，记录用户的访问行为和系统的异常信息，及时发现和处理潜在的安全威胁。

五、总结

XSS攻击是Struts2应用面临的常见安全威胁之一，开发者需要采取一系列措施来强化应用的安全性。通过输入验证和过滤、输出编码、安全的HTTP头设置、避免使用内联脚本和样式等技巧，可以有效地抵御XSS攻击。同时，定期进行安全测试和监控，及时发现和处理潜在的安全漏洞，确保Struts2应用的安全稳定运行。

在实际开发中，开发者应始终保持安全意识，不断学习和掌握新的安全技术和方法，为用户提供更安全可靠的Web应用。