项目在漏洞扫描时发现xss漏洞， 本以为是常见漏洞，网上有很多解决方案，应该能很快搞定，但实际上文章看了不少，却并未找到十分“顺手”的解决方案。
历经波折终于完成了一套自己想要的方案，现将过程分享出来，希望能帮助到遇到同样的问题人。

方案目标：

• 只配置一次，与业务接口无关
• 过滤两种请求的参数：Content-Type为form表单(application/x-www-form-urlencoded)和 json(application/json)

application/json

对于json请求，spring mvc默认使用MappingJackson2HttpMessageConverter转换器，
而它是使用jackson来序列化对象的，如果我们能 将jackson的序列化和反序列化过程修改，加入过滤xss代码，并将其注册到MappingJackson2HttpMessageConverter中，那么就能解决json请求的xss问题，而且我相信jackson肯定有这种接口。

具体实现：

StdSerializer<T>

自定义序列化类

/**
 *  序列化
 * @date: 2017-12-15.
 */
public class DefaultJsonSerializer extends StdSerializer<String> {

  public DefaultJsonSerializer() {
    this(null);
  }

  public DefaultJsonSerializer(Class<String> t) {
    super(t);
  }

  @Override
  public void serialize(String value, JsonGenerator gen, SerializerProvider serializers)
      throws IOException {
    // xss策略在此执行
    String safe = HtmlUtils.htmlEscape(value, "utf-8");
    gen.writeString(safe);
  }
}

StdDeserializer<T>

自定义反序列化类

/**
 *  反序列化
 * @date: 2017-12-15.
 */
public class DefaultJsonDeserializer extends StdDeserializer<String> {

  public DefaultJsonDeserializer() {
    this(null);
  }

  public DefaultJsonDeserializer(Class<String> t) {
    super(t);
  }

  @Override
  public String deserialize(JsonParser p, DeserializationContext ctxt)
      throws IOException {
    String value = p.getValueAsString();
    if (StringUtils.isEmpty(value)) {
      return value;
    } else {
      value = HtmlUtils.htmlEscape(value.toString(), "utf-8");
      return value;
    }
  }
}

配置HttpMessageConverter<T>

java config配置

// WebMvcConfigurerAdapter子类中添加如下代码：
@Override
public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
  SimpleModule module = new SimpleModule();
  module.addDeserializer(String.class, new DefaultJsonDeserializer());
  module.addSerializer(String.class, new DefaultJsonSerializer());
  ObjectMapper mapper = Jackson2ObjectMapperBuilder.json().build();
  //注册自定义的序列化和反序列化器
  mapper.registerModule(module);
  MappingJackson2HttpMessageConverter converter = new MappingJackson2HttpMessageConverter(mapper);
  converters.add(converter);
}

// configureMessageConverters会覆盖spring默认的转换器，如果想额外添加一个自定义的转换器
重写extendMessageConverters方法
@Override
public void extendMessageConverters(List<HttpMessageConverter<?>> converters) {
  //...额外添加转换器....
}

xml配置

<mvc:annotation-driven>
<mvc:message-converters register-defaults="true">
<bean  ref="jsonConverter"/>
</mvc:message-converters>
</mvc:annotation-driven>
<!--
 配置MappingJackson2HttpMessageConverter
记得给它注入添加了DefaultJsonDeserializer、DefaultJsonSerializer的ObjectMapper
-->

application/x-www-form-urlencoded

使用@InitBinder，控制器中添加如下代码

@InitBinder
public void initBinder(WebDataBinder binder) {
    // 注意CustomStringEditor为非线程安全类，故这里需构建对象，不能直接
    // 注入bean
    binder.registerCustomEditor(String.class, new CustomStringEditor());
}

自定义类型转换器 继承PropertyEditorSupport

public class CustomStringEditor extends PropertyEditorSupport {

  @Override
  public void setAsText(String text) throws IllegalArgumentException {
    if (text == null || text.equals("")) {
      text = "";
    }
    // xss过滤，表单提交时封装参数，String类型会经过此处
    text = HtmlUtils.htmlEscape(text, "utf-8");
    setValue(text);
  }

  @Override
  public String getAsText() {
    return getValue().toString();
  }
}

接下来，启动测试即可。

目前代码已经存放到github上，欢迎star 和 fork，指出问题，一起学习交流

github地址：SpringMvc防御XSS实践

源码地址：spring mvc xss防御