一、处理信息安全问题：

CSRF跨站请求伪造：伪装来自受信用户的请求来利用受信网站

• 特性：利用网站对用户标识的信任,依靠用户标识危害网站
• 做法：欺骗用户的浏览器发送HTTP请求给目标站点
• 实现：可以通过IMG标签触发GET请求，利用它来实现CSRF攻击
• 防范（可使用拦截器实现）：
  • 增加隐藏token，提交请求时验证token（Cookie中不存在）
  • 项目中使用的：验证HTTP请求的Referer字段是否为正常的字段

CSS跨站脚本：利用站点内的可信用户

• 做法：输入js脚本，点击页面时会执行
• 防范：
  • form表单添加<spring:htmlEscape defaultHtmlEscape="true" />
  • 手动escape
  • 后台加过滤器

二、上下文信息获取

• 对所有URL添加统一拦截器，获取ControllerContext
• ControllerContext上下文中包含一系列信息，包括从登陆Ticket获取的信息