关于xss过滤,网上大都是是对 param的,这个很多文章了 定义过滤器。XSSFilter 不说了,
参考 https://blog.csdn.net/yucaifu1989/article/details/61616554
还有就是对所有@ResponseBody 返回内容做XSS过滤的方案:
MappingJackson2HttpMessageConverter 的objectMapper 做设置
参考 百度
那么对 @RequestBody 的 json 数据怎么过滤呢:
spring处理json是通过MappingJackson2HttpMessageConverter实现的。
MappingJackson2HttpMessageConverter 里是用的 objectMapper 做的反序列化,从 json 字符串反序列化到java对象。
我们的目的是把 入参 json中的 字符串对象做xss过滤
jackson 可以自定义 Deserializer,我们就用这个来处理
public class StringXssDeserializer extends JsonDeserializer<String> {
@Override
public String deserialize(JsonParser p, DeserializationContext ctxt) throws IOException, JsonProcessingException {
String source = p.getText().trim();
// 把字符串做XSS过滤
return StringEscapeUtils.escapeHtml4(source);
}
}
把MappingJackson2HttpMessageConverter 中的 :
@Bean
public MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter() {
MappingJackson2HttpMessageConverter htmlEscapingConverter = new MappingJackson2HttpMessageConverter();
SimpleModule simpleModule = new SimpleModule();
simpleModule.addDeserializer(String.class, new StringXssDeserializer());
htmlEscapingConverter.getObjectMapper().registerModule(simpleModule);
return htmlEscapingConverter;
}
Done
该方案无法对单个字段做特殊处理,全部会被转义。
本方案 对 @RequestBody String 无效
// 对下面的 RequestBody无效
@RequestMapping("test")
public String testxssstr(@RequestBody String data) {
}
