java web 跨框架脚本攻击解决办法

1.配置filter对存放敏感信息的页面限制页面缓存

2.在数据库访问层中不要使用“+”来拼接SQL语句！

3.而应使用PreparedStatement

4.如果项目中使用了Hibernate框架，则推荐使用named parameter

5.冒号后面是一个named parameter，我们可以使用Query接口将一个参数绑定到name参数上：

6.使用org.apache.commons.lang.StringEscapeUtils对用户提交的数据进行转义。