若依微服务版本JSON.parse: unexpected character错误排查

已于 2024-01-09 10:59:21 修改
阅读量828 收藏 11
点赞数 11
分类专栏: Java 后端 文章标签: 微服务 json java
于 2024-01-09 10:38:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lengjunguan/article/details/135473371
版权

一、问题场景

前端某功能模块入参携带包含HTML标签的字符串,提交到后端报错:

JSON parse error: Unexpected character ('>' (code 62)): was expecting either '*' or '/' for a comment; nested exception is com.fasterxml.jackson.core.JsonParseException: Unexpected character ('>' (code 62)): was expecting either '*' or '/' for a comment\n at [Source: (org.springframework.util.StreamUtils$NonClosingInputStream); line: 3, column: 473]

前端入参

{
  "content": "<p>南朝时期(公元420年至589年):九江地区成为南朝的楚州之一,属于南宋、齐、梁的管辖范围。</p><p><br></p><p>唐朝时期(公元618年至907年):九江地区属于唐朝的吉州,成为交通要地和商贸心。</p><p><br></p><p>宋、元、明、清时期(公元960年至191年):九江地区历经宋代南唐、宋朝,元朝、明朝、清朝的统治。九江成为江西省重要的政治、经济、文化中心之一。<img src=\"http://47.96.173.203:9000/lu-yi-fa/2024/01/08/100j0u000000j1zf01511_R_1600_10000_20240108142420A002.jpg\"></p>" ,
  "coverImage": "",
  "id": null,
  "status": "1",
  "title": "test",
  "type": "1",
}

问题原因:

若依框架在网关采用配置拦截器的方式来处理XSS攻击,一旦请求被过滤器拦截,就会转入到自定义的拦截器XssFilter当中,首先解决的就是判断是否启用XSS拦截器和是否需要拦截(默认是开启状态),若依这里是采用在配置文件当中填写具体信息的方式,来配置是否启用xss,是否是白名单,是否是匹配链接。按照后台填写的数据处理请求,如果是不启用或者是该请求为白名单,就直接将请求放过如果不通过就交给XssFilter来处理。

XssFilter里面就是一些核心代码,就是获取请求参数,就是进行一些html标签的过滤和json字符串的处理。如下:

public class XssFilter implements GlobalFilter, Ordered
{
    // 跨站脚本的 xss 配置,nacos自行添加
    @Autowired
    private XssProperties xss;

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain)
    {
        ServerHttpRequest request = exchange.getRequest();
        // xss开关未开启 或 通过nacos关闭,不过滤
        if (!xss.getEnabled())
        {
            return chain.filter(exchange);
        }
        // GET DELETE 不过滤
        HttpMethod method = request.getMethod();
        if (method == null || method == HttpMethod.GET || method == HttpMethod.DELETE)
        {
            return chain.filter(exchange);
        }
        // 非json类型,不过滤
        if (!isJsonRequest(exchange))
        {
            return chain.filter(exchange);
        }
        // excludeUrls 不过滤
        String url = request.getURI().getPath();
        if (StringUtils.matches(url, xss.getExcludeUrls()))
        {
            return chain.filter(exchange);
        }
        ServerHttpRequestDecorator httpRequestDecorator = requestDecorator(exchange);
        return chain.filter(exchange.mutate().request(httpRequestDecorator).build());

    }

    private ServerHttpRequestDecorator requestDecorator(ServerWebExchange exchange)
    {
        ServerHttpRequestDecorator serverHttpRequestDecorator = new ServerHttpRequestDecorator(exchange.getRequest())
        {
            @Override
            public Flux<DataBuffer> getBody()
            {
                Flux<DataBuffer> body = super.getBody();
                return body.buffer().map(dataBuffers -> {
                    DataBufferFactory dataBufferFactory = new DefaultDataBufferFactory();
                    DataBuffer join = dataBufferFactory.join(dataBuffers);
                    byte[] content = new byte[join.readableByteCount()];
                    join.read(content);
                    DataBufferUtils.release(join);
                    String bodyStr = new String(content, StandardCharsets.UTF_8);
                    // 防xss攻击过滤
                    bodyStr = EscapeUtil.clean(bodyStr);
                    // 转成字节
                    byte[] bytes = bodyStr.getBytes(StandardCharsets.UTF_8);
                    NettyDataBufferFactory nettyDataBufferFactory = new NettyDataBufferFactory(ByteBufAllocator.DEFAULT);
                    DataBuffer buffer = nettyDataBufferFactory.allocateBuffer(bytes.length);
                    buffer.write(bytes);
                    return buffer;
                });
            }

            @Override
            public HttpHeaders getHeaders()
            {
                HttpHeaders httpHeaders = new HttpHeaders();
                httpHeaders.putAll(super.getHeaders());
                // 由于修改了请求体的body,导致content-length长度不确定,因此需要删除原先的content-length
                httpHeaders.remove(HttpHeaders.CONTENT_LENGTH);
                httpHeaders.set(HttpHeaders.TRANSFER_ENCODING, "chunked");
                return httpHeaders;
            }

        };
        return serverHttpRequestDecorator;
    }

    /**
     * 是否是Json请求
     * 
     * @param exchange HTTP请求
     */
    public boolean isJsonRequest(ServerWebExchange exchange)
    {
        String header = exchange.getRequest().getHeaders().getFirst(HttpHeaders.CONTENT_TYPE);
        return StringUtils.startsWithIgnoreCase(header, MediaType.APPLICATION_JSON_VALUE);
    }

    @Override
    public int getOrder()
    {
        return -100;
    }
}

解决方案:
在网关配置Xss过滤白名单接口

security:
  # 防止XSS攻击
  xss:
    enabled: true
    excludeUrls:
      - /system/notice
      - /flowable/definition/save
      - /test/article/add
      - /test/article/edit

当然也有其它解决方案
利用算法进行加密和解密,及前端将对应的表单数据加密,后端解密,该方法最安全。
一、前端安装crypto-js 插件,编写工具类

import CryptoJS from 'crypto-js'
 
// 需要和后端一致
const KEY = CryptoJS.enc.Utf8.parse('abcdefj123456');
const IV = CryptoJS.enc.Utf8.parse('abcdefj123456');
 
export default {
 
  /**
   * 加密
   * @param {*} word
   * @param {*} keyStr
   * @param {*} ivStr
   */
  encrypt (word, keyStr, ivStr) {
    let key = KEY;
    let iv = IV;
    if (keyStr) {
      key = CryptoJS.enc.Utf8.parse(keyStr);
      iv = CryptoJS.enc.Utf8.parse(ivStr);
    }
    let srcs = CryptoJS.enc.Utf8.parse(word);
    var encrypted = CryptoJS.AES.encrypt(srcs, key, {
      iv: iv,
      mode: CryptoJS.mode.CBC,
      padding: CryptoJS.pad.ZeroPadding
    });
    return CryptoJS.enc.Base64.stringify(encrypted.ciphertext);
  },
 
  /**
   * 解密
   * @param {*} word
   * @param {*} keyStr
   * @param {*} ivStr
   */
  decrypt (word, keyStr, ivStr) {
    let key = KEY;
    let iv = IV;
 
    if (keyStr) {
      key = CryptoJS.enc.Utf8.parse(keyStr);
      iv = CryptoJS.enc.Utf8.parse(ivStr);
    }
 
    let base64 = CryptoJS.enc.Base64.parse(word);
    let src = CryptoJS.enc.Base64.stringify(base64);
 
    let decrypt = CryptoJS.AES.decrypt(src, key, {
      iv: iv,
      mode: CryptoJS.mode.CBC,
      padding: CryptoJS.pad.ZeroPadding
    });
 
    let decryptedStr = decrypt.toString(CryptoJS.enc.Utf8);
    return decryptedStr.toString();
  }
}

二、表单提交前将数据加密

this.model.content = asc.encrypt(this.model.content);

三、后端接收数据并解密

  1. 引入依赖
<dependency>
    <groupId>org.bouncycastle</groupId>
    <artifactId>bcprov-jdk15on</artifactId>
    <version>1.6.0</version>
</dependency>
  1. 编写工具类

 
import org.apache.commons.codec.binary.Base64;
 
import javax.crypto.Cipher;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;
 
/**
 * @author root
 */
public class SecretUtil {
 
    /***
     * key和iv值需要和前端一致
     */
    public static final String KEY = "abcdefj123456";
 
    public static final String IV = "abcdefj123456";
 
    /**
     * 加密方法
     *
     * @param data 要加密的数据
     * @param key  加密key
     * @param iv   加密iv
     * @return 加密的结果
     */
    public static String encrypt(String data, String key, String iv) {
        try {
            //"算法/模式/补码方式"NoPadding PkcsPadding
            Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");
            int blockSize = cipher.getBlockSize();
 
            byte[] dataBytes = data.getBytes();
            int plaintextLength = dataBytes.length;
            if (plaintextLength % blockSize != 0) {
                plaintextLength = plaintextLength + (blockSize - (plaintextLength % blockSize));
            }
 
            byte[] plaintext = new byte[plaintextLength];
            System.arraycopy(dataBytes, 0, plaintext, 0, dataBytes.length);
 
            SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES");
            IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes());
 
            cipher.init(Cipher.ENCRYPT_MODE, keyspec, ivspec);
            byte[] encrypted = cipher.doFinal(plaintext);
 
            return new Base64().encodeToString(encrypted);
 
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }
 
    /**
     * 解密方法
     *
     * @param data 要解密的数据
     * @param key  解密key
     * @param iv   解密iv
     * @return 解密的结果
     */
    public static String desEncrypt(String data, String key, String iv) {
        try {
            byte[] encrypted1 = new Base64().decode(data);
 
            Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");
            SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), "AES");
            IvParameterSpec ivSpec = new IvParameterSpec(iv.getBytes());
            cipher.init(Cipher.DECRYPT_MODE, keySpec, ivSpec);
            byte[] original = cipher.doFinal(encrypted1);
            return new String(original).trim();
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }
}
  1. 数据解密
//将content内容解密
model.setContent(SecreUtil.desEncrypt(model.getContent(),SecreUtil.Key,SecreUtil.IV));
在荒野的梦想
关注
  • 11
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(已解决)JSON parse error: Unexpected character (‘‘‘ (code 39)): was expecting double-quote to star
Dawn
07-02 8975
警告 [http-nio-8080-exec-6] org.springframework.web.servlet.mvc.support.DefaultHandlerExceptionResolver.handleHttpMessageNotReadable Failed to read HTTP message: org.springframework.http.converter.HttpMessageNotReadableException: JSON parse error: Unexpected
babel-plugin-object-to-json-parse:该插件将对象文字转换为JSON.parse
04-30
babel-plugin-object-to-json-parse :rocket: 该存储库受启发只要仅对JSON字符串求值一次,与JavaScript对象文字相比,JSON.parse方法就快得多,尤其是对于冷负载。JSON.parse的对象该插件将对象文字转换为JSON....
secure-json-parse:JSON.parse() 替代原型中毒保护
07-23
安全-json-解析 JSON.parse()替代原型中毒保护。 介绍 考虑一下: > const a = '{"__proto__":{ "b":5}}' ; '{"__proto__":{ "b":5}}' > const b = JSON . parse ( a ) ; { __proto__ : { b : 5 } } > b . b ; undefined > const c = Object . assign ( { } , b ) ; { } > c . b 5 问题在于JSON.parse()将__proto__属性保留为普通对象键。 就其本身而言,这不是安全问题。 然而,一旦该对象被分配给另一个或迭代并复制值, __proto__属性就会泄漏并成为该对象的原型。 安装 npm install secure-json-parse 用法 将选项对象作为第二个(或第三
destr:JSON.parse的更快,安全和方便的替代方法
05-26
毁灭 更快,安全和方便的替代方法: 用法 Node.js 使用npm或yarn进行安装: npm i destr # or yarn add destr 导入到您的Node.js项目中: // CommonJS const destr = require ( 'destr' ) // ESM import destr from 'destr' 天野 import destr from 'https://deno.land/x/destr/src/index.ts' console . log ( destr ( '{ "deno": "yay" }' ) ) 为什么? 请注意,在解析标准JSON字符串时, destr会稍微慢一些,这主要是因为要进行转换以避免,如果不进行货币化,可能会导致严重的安全问题。 换句话说,当输入不总是一个json字符串或来自诸如请求正文之类的未经引用
JSON.parse: unexpected character排查
架构设计
04-06 1213
近发现Javascript+json+php开发有点意思,于是做了个小查询功能“通过IP查询用户信息”. 一、先创建三个文件:一个js(实现对主表单对象和php结果的操作),一个后台取数据的php文件和一个index.php,index.php中调用到了自定义js 和www.json.org的json2.js &lt;script src="/json/json2.js" type="te...
js报错:JSON.parse: unexpected character
程序员写的技术 FAQ 和杂文
03-07 9713
js报错:JSON.parse: unexpected character 由于输入的函数不是JSON格式引起的。 加入判断 或重组数据为JSON。 可解决。 也可直接用异常抓取。 $.ajax({ type: "Post", ContentType: "application/json; charset=utf-8", dataType: "json", data:
JSON parse error: Unexpected character (‘%‘ (code 37)): expected a valid value (number, String, arr
qfzhangwei的专栏
11-22 1万+
1 复现过程 POST + @RequestBody +json格式的数据,不指定数据格式 MappingJackson2HttpMessageConverter 读取 application/x-www-form-urlencoded;charset=UTF-8 就会报异常:JSON parse error: Unexpected character ('%' (code 37)): expected a valid value (number, String, array, object, 'tr..
JSON parse error: Unexpected character ('}' (code 125)): was expecting double-quote to start field n
热门推荐
weixin_43187491的博客
09-05 3万+
1.测试数据 ,postman 里面message出现这样的报错 JSON parse error: Unexpected character (’}’ (code 125)): was expecting double-quote to start field name; nested exception is com.fasterxml.jackson.core.JsonParseExcept...
报错:JSON parse error: Unexpected character (‘ ‘ (code 160)): was expecting double-quote to start fiel
最新发布
zznn0306的博客
04-23 1264
检查你的 JSON 数据,特别是字符串值中是否包含非打印字符或特殊字符。通过检查以上可能的原因,并根据具体情况进行相应的调整,你应该能够解决这个 JSON 解析错误。如果问题仍然存在,你可以提供更多的上下文信息,以便我能够提供更准确的帮助。:如果 JSON 数据是从文件中读取的,请确保文件的编码格式与你的解析器期望的编码格式一致。有时候,文件的编码格式可能与解析器的默认设置不匹配,导致解析错误。:检查 JSON 数据的字符编码是否正确。确保 JSON 数据使用的是与解析器相匹配的字符编码格式。
JS使用JSON.parse(),JSON.stringify()实现对对象的深拷贝功能分析
10-17
主要介绍了JS使用JSON.parse(),JSON.stringify()实现对对象的深拷贝功能,结合实例形式分析了JSON.parse()与JSON.stringify()方法实现深拷贝的相关实现技巧与操作注意事项,需要的朋友可以参考下
StringNumber:JSON.parse stringify将大数字转换为字符串
04-28
字串号码JSON.parse / stringify将大数字转换为字符串。 基于 。 尽管大多数JSON解析器都假定数字值具有与IEEE 754 double相同的精度限制,但JSON规范并未说明任何数字精度。 十进制(可选地,科学的)表示法中的...
字符串接收富文本报错JsonParseException: Unexpected character (‘a‘ (code 97))
Reven12的博客
07-01 415
防止XXS攻击排除连接加入对应接口地址即可。
微服务框架页面新增时,富文本加入图片保存时出现:JSON parse error: Unexpected character (‘/‘ (code 47))...错误的解决方案
weixin_45236540的博客
07-06 4927
微服务框架解决富文本加图片保存时报错
vue前端使用富文本时提交表单报json解析错误
TheShield的博客
06-02 2096
encodeURIComponent()方法进行处理,处理掉参数中的`\`可能还有其他方式能够解决,希望前端大佬指正告知。decodeURIComponent()处理。在提交之前,对表单中的富文本字段进行采用。但是这种方法在回显时,需要对数据进行。
Unexpected character ('}' (code 125)): was expecting double-quote to start field name
qq_44209563的博客
12-30 8402
使用Kibana设置索引的时候,执行语句出现错误Unexpected character (’}’ (code 125)): was expecting double-quote to start field name 我按照错误不断检查双引号是否正确,结果最后找出来是逗号多了一个,晕。 ...
JSON parse error: Unexpected character (‘ ‘ (code 160))-PostMan里面Json参数编码不一致解决方法
weixin_44188105的博客
07-18 2504
JSON parse error: Unexpected character ('' (code 160))-PostMan里面Json参数编码不一致解决方法
JSONJSON在前端和后端传递
u010900754的专栏
05-13 3万+
前后台最最传统的交互方式就是表单交互,然后用request.setAttribute方法设置结果,渲染jsp,然而随着前台界面的复杂程度的提高,或者是使用了某些前端框架(sigmagrid)越来越多的界面会使用异步方式提交数据。那么这个过程大致是什么样的? 后端:我们假定使用的是java语言 前端:毫无疑问是js java语言是一种强类型的语言,必须定义类型,然后生成实例,而js却不是,虽然
【springboot】【若依(ruoyi)】@RestController 接口支持 JSONP
sayyy的专栏
09-04 1552
前言 若依(ruoyi): v4.3 springboot 2.1.1.RELEASE spring 5.1.3.RELEASE 360极速浏览器 12.0.1476.0 (正式版本) (32 位) jquery 3.5.0 简单来说,@RestController 接口支持 JSONP 需要对返回结果用callback包裹。 需求为: jsonpCallback 固定为 callback。 JSONP 开关参数为 jsonp。比如:http://localhost:8085/api/sample/f
JSON parse error: Unexpected character (‘}‘ (code 125)): was expecting double-quote to start field n
小赵的呢
02-24 5931
1.测试数据 ,postman 里面message出现这样的报错 JSON parse error: Unexpected character (’}’ (code 125)): was expecting double-quote to start field name; nested exception is com.fasterxml.jackson.core.JsonParseException: Unexpected character (’}’ (code 125)): was expecti.
SyntaxError: JSON.parse: Parse error
03-05
SyntaxError: JSON.parse: Parse error是一个JavaScript中的错误,它表示在解析JSON字符串时发生了语法错误JSON.parse()方法用于将JSON字符串转换为JavaScript对象。 通常情况下,出现这个错误的原因可能有以下几种: 1. JSON字符串格式不正确:JSON字符串必须符合严格的语法规则,包括正确的引号使用、正确的逗号分隔等。如果JSON字符串中存在语法错误,就会导致解析错误。 2. JSON字符串中包含了非法的转义字符:在JSON字符串中,某些字符需要进行转义,比如双引号、反斜杠等。如果转义字符使用不正确,也会导致解析错误。 3. JSON字符串中包含了无效的Unicode字符:JSON字符串中的Unicode字符必须是有效的,如果包含了无效的Unicode字符,也会导致解析错误。 为了解决这个问题,你可以检查你的JSON字符串是否符合JSON语法规则,并确保其中的转义字符和Unicode字符都是有效的。你还可以使用一些在线的JSON验证工具来验证你的JSON字符串是否正确。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值