Galera, fiz um XSSInterceptor pra interceptar meu request e mudar os caracteres que o usuário digitou.
Até aí tudo bem, problema foi na hora de mudar os parametros do request.
String getNameParameter = field.getName();
String getNameScape = (String) HtmlUtils.htmlEscape(request.getParameter(getNameParameter));
request.setAttribute(getNameParameter, getNameScape);
Tentei fazer usando o request.setAttribute(getNameParameter, getNameScapado); só que não deu certo.
Vi no stackoverflow o cara fazendo assim e funcionou.
String getNameParameter = types[0].getSimpleName().toLowerCase() + "." + field.getName();
String getNameScape = (String) HtmlUtils.htmlEscape(request.getParameter(getNameParameter));
if(request.getParameterValues(getNameParameter) != null)
request.getParameterValues(getNameParameter)[0] = getNameScape;
Queria saber se essa é a melhor forma. Ou se existe outra.
