## 什么是XSS攻击 * XSS又称为CSS（Cross SiteScript），跨站脚本攻击。其原理是攻击者向有XSS漏洞的网站中“嵌入”恶意的HTML代码，当其他用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如：盗取用户Cookie、重定向到其他网站等。 * 理论上，所有可以输入的地方没有对输入数据进行处理的话，都会存在XSS漏洞。漏洞的厉害取决于攻击代码的能力。 ## 如何配置 * 比如某些接口API，请求参数是xml类型，带有<>标记，会被xss拦截过滤 * 针对这种情况，可以配置富文本过滤，具体配置如下 ~~~ jpower: xss: # 是否开启富文本过滤(如果开启，content参数名和以WithHtml结尾得参数名将不进行XSS过滤，默认位关闭) isIncludeRichText: true ~~~ * 富文本过滤默认为关闭需要配置开启，开启后`content`参数名和以`WithHtml`结尾得参数名都不会进行XSS过滤。 * 如果我们不止一个参数或者还有其他参数，我们可以对接口进行过滤，具体配置如下 ~~~ jpower: xss: # XSS不过滤得接口路径，支持通配符模式 excludes: - /html/** - /weixin ~~~ * 配置这个后，会对配置过的接口不进行XSS过滤，支持通配符配置。 ## 注意 * XSS过滤在JPower工程中会直接启用，并默认进行SQL防注入过滤。