通过度娘找到一个方案,新增一个XSSRequestWrapper来重写request对象的getParameter方法,过滤参数中的容易引起xss漏洞的字符,但实际对于multipart-data类型的表单提交并不起作用呢。因为项目已经开发的差不多了,用拦截器肯定是比较简单的。如果每个地方都加一下这些htmlEscape那太麻烦力。
谢谢你,小N,觉得搜索的回答还是有些可行性。