为什么把request装饰一下，就能实现Xss防护?

为什么这里把req装饰一下，就能实现Xss防护呢？这里只是调用构造方法呀？没有调用XssHttpServletRequestWrapper里面的getHeader等方法呀？
参考：https://juejin.cn/post/6966596396069683207#comment

因为最后你把这个包装过的 request 传给了下一个过滤器了。

chain.doFilter(request, response);

等到所有过滤器都执行完，Action 里拿到的 Request 就已经是这个包装类型了（前提是你没在后面的过滤器里又给它“解包”了）。你可以自己尝试断点调试看看。