在Web应用开发中，XSS（跨站脚本攻击）是一种常见且具有严重危害的安全漏洞。攻击者可以通过在网页中注入恶意脚本，当其他用户访问该页面时，这些脚本就会在用户的浏览器中执行，从而获取用户的敏感信息，如会话令牌、用户名等。Struts2作为一个流行的Java Web应用开发框架，提供了一些机制来防止XSS攻击。本文将详细介绍Struts2防止XSS的代码示例，并对其进行讲解。

1. XSS攻击的原理和危害

XSS攻击主要是利用了Web应用对用户输入过滤不严格的漏洞。攻击者会在用户输入的地方，如表单、URL参数等，添加恶意的JavaScript代码。当这些恶意代码被包含在网页中并被其他用户访问时，就会在用户的浏览器中执行。

XSS攻击的危害非常大，它可以窃取用户的会话令牌，从而模拟用户的身份进行操作；可以修改网页内容，误导用户；还可以进行钓鱼攻击，获取用户的敏感信息。因此，防止XSS攻击是Web应用开发中非常重要的一环。

2. Struts2防止XSS的基本思路

Struts2防止XSS的基本思路是对用户输入进行过滤和转义，确保用户输入的内容不会被当作脚本代码执行。主要有以下几个方面：

- 对用户输入进行严格的验证和过滤，只允许合法的字符和格式。

- 在输出用户输入时，对特殊字符进行转义，将其转换为HTML实体，从而避免被浏览器解析为脚本代码。

3. 代码示例

下面是一个完整的Struts2防止XSS的代码示例，包括Action类、JSP页面和Struts2配置文件。

3.1 Action类

package com.example.struts2.xss;

import com.opensymphony.xwork2.ActionSupport;
import java.util.regex.Pattern;

public class XSSAction extends ActionSupport {
    private String input;
    private String output;

    public String getInput() {
        return input;
    }

    public void setInput(String input) {
        // 过滤输入，去除可能的XSS脚本
        this.input = filterXSS(input);
    }

    public String getOutput() {
        return output;
    }

    public void setOutput(String output) {
        this.output = output;
    }

    public String execute() {
        // 将过滤后的输入赋值给输出
        this.output = this.input;
        return SUCCESS;
    }

    private String filterXSS(String value) {
        if (value == null) {
            return null;
        }
        // 移除所有的HTML标签
        value = value.replaceAll("\\<.*?\\>", "");
        // 移除JavaScript事件处理函数
        value = value.replaceAll("on\\w+\\s*=\\s*['\"].*?['\"]", "");
        // 移除JavaScript协议
        value = value.replaceAll("javascript:", "");
        return value;
    }
}

在这个Action类中，我们定义了一个"filterXSS"方法，用于过滤用户输入中的XSS脚本。在"setInput"方法中调用这个过滤方法，确保输入的内容是安全的。

3.2 JSP页面

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ taglib prefix="s" uri="/struts-tags"%>
<!DOCTYPE html>
<html>
<head>
    <title>Struts2 XSS Prevention</title>
</head>
<body>
    
    <form action="xssAction" method="post">
        <label for="input">Enter some text:</label>
        <input type="text" id="input" name="input" />
        <input type="submit" value="Submit" />
    </form>
    <s:if test="output != null">Your input: <s:property value="output" escapeHtml="true" /></s:if>
</body>
</html>

在JSP页面中，我们使用了Struts2的标签库。在输出用户输入时，使用了"escapeHtml="true""属性，将特殊字符转义为HTML实体，避免被浏览器解析为脚本代码。

3.3 Struts2配置文件（struts.xml）

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
    "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN"
    "http://struts.apache.org/dtds/struts-2.5.dtd">
<struts>
    <package name="xss" extends="struts-default">
        <action name="xssAction" class="com.example.struts2.xss.XSSAction">
            <result name="success">/xssResult.jsp</result>
        </action>
    </package>
</struts>

在Struts2配置文件中，我们定义了一个Action和对应的结果页面。

4. 代码讲解

4.1 Action类中的过滤方法

在"XSSAction"类中，"filterXSS"方法是核心的过滤方法。它主要做了以下几件事：

- 首先检查输入是否为"null"，如果是则直接返回"null"。

- 使用正则表达式移除所有的HTML标签，通过"replaceAll("\\<.*?\\>", "")"实现。

- 移除JavaScript事件处理函数，如"onclick"、"onmouseover"等，通过"replaceAll("on\\w+\\s*=\\s*['\"].*?['\"]", "")"实现。

- 移除JavaScript协议，通过"replaceAll("javascript:", "")"实现。

4.2 JSP页面中的转义

在JSP页面中，使用了"escapeHtml="true""属性来对输出进行转义。这个属性会将特殊字符，如"<"、">"、"&"等，转换为HTML实体，如"<"、">"、"&"等。这样，即使输入中包含恶意脚本，也不会被浏览器解析为脚本代码。

4.3 Struts2配置文件

Struts2配置文件定义了Action和对应的结果页面。当用户提交表单时，请求会被发送到"xssAction"，执行"XSSAction"类中的"execute"方法，然后跳转到"xssResult.jsp"页面。

5. 其他注意事项

除了上述的过滤和转义方法，还可以使用一些第三方的库来更全面地防止XSS攻击。例如，OWASP的ESAPI（Enterprise Security API）库提供了一系列的安全工具，包括XSS过滤。

另外，在开发过程中，要养成良好的安全习惯，对所有用户输入进行严格的验证和过滤，不要信任用户输入。同时，要定期对应用进行安全审计，及时发现和修复潜在的安全漏洞。

总之，Struts2提供了多种方式来防止XSS攻击，通过对用户输入的过滤和输出的转义，可以有效地保护Web应用免受XSS攻击的威胁。在实际开发中，要根据具体的需求和场景，选择合适的方法来确保应用的安全性。