html body init,Spring 3.2.4中带有@RequestBody的@InitBinder转义XSS

最新推荐文章于 2024-07-27 16:47:12 发布
最新推荐文章于 2024-07-27 16:47:12 发布
阅读量552 收藏
点赞数
文章标签: html body init

小编典典

为了逃避XSS,我建议在输出数据时进行转义,因为正确的转义取决于输出文档。

如果@ResponseBody客户端直接使用所产生的JSON响应,并且没有机会让XSS转义内容,那么可以自定义JacksonMessageConverter以对字符串执行XSS转义。

可以像这样自定义JacksonMessageConverter:

1)首先,我们创建ObjectMapper工厂,该工厂将创建我们的自定义对象映射器:

public class HtmlEscapingObjectMapperFactory implements FactoryBean {

private final ObjectMapper objectMapper;

public HtmlEscapingObjectMapperFactory() {

objectMapper = new ObjectMapper();

objectMapper.getJsonFactory().setCharacterEscapes(new HTMLCharacterEscapes());

}

@Override

public ObjectMapper getObject() throws Exception {

return objectMapper;

}

@Override

public Class> getObjectType() {

return ObjectMapper.class;

}

@Override

public boolean isSingleton() {

return true;

}

public static class HTMLCharacterEscapes extends CharacterEscapes {

private final int[] asciiEscapes;

public HTMLCharacterEscapes() {

// start with set of characters known to require escaping (double-quote, backslash etc)

asciiEscapes = CharacterEscapes.standardAsciiEscapesForJSON();

// and force escaping of a few others:

asciiEscapes['

asciiEscapes['>'] = CharacterEscapes.ESCAPE_CUSTOM;

asciiEscapes['&'] = CharacterEscapes.ESCAPE_CUSTOM;

asciiEscapes['"'] = CharacterEscapes.ESCAPE_CUSTOM;

asciiEscapes['\''] = CharacterEscapes.ESCAPE_CUSTOM;

}

@Override

public int[] getEscapeCodesForAscii() {

return asciiEscapes;

}

// and this for others; we don't need anything special here

@Override

public SerializableString getEscapeSequence(int ch) {

return new SerializedString(StringEscapeUtils.escapeHtml4(Character.toString((char) ch)));

}

}

}

(HtmlCharacterEscapes的灵感来自于这个问题:Spring MVC和Jackson

Mapper的HTML转义)

2)然后,我们注册使用自定义对象映射器的消息转换器(例如xml config中的示例):

现在,由创建的所有JSON消息@ResponseBody都应具有HTMLCharacterEscapes中指定的转义字符串。

该问题的替代解决方案:

对象反序列化后,XSS可以在控制器主体中逃脱所需的操作

也许XSS在输出内容之前先在客户端的javascript中转义

除了进行输出转义之外,还可以进行一些输入验证(使用标准的Spring验证方法)来阻止一些您不想输入到系统/数据库中的内容,这可能是有用的。

编辑:JavaConfig

我还没有尝试过,但是在Java配置中它应该像这样工作(您不需要上面的Factory Bean,因为在这种情况下您可以在config中设置所有内容):

@Override

public void configureMessageConverters(List> converters) {

super.configureMessageConverters(converters);

converters.add(buildHtmlEscapingJsonConverter());

}

private MappingJacksonHttpMessageConverter buildHtmlEscapingJsonConverter() {

MappingJacksonHttpMessageConverter htmlEscapingConverter = new MappingJacksonHttpMessageConverter();

ObjectMapper objectMapper = new ObjectMapper();

objectMapper.getJsonFactory().setCharacterEscapes(new HTMLCharacterEscapes());

htmlEscapingConverter.setObjectMapper(objectMapper);

return htmlEscapingConverter;

}

请注意,现在通常配置的所有其他非json默认消息转换器(例如XML转换器等)都将丢失,并且如果需要它们,则需要手动添加它们(您可以看到默认情况下处于活动状态)在第2.2节中:http : //www.baeldung.com/spring-httpmessageconverter-

rest)

2020-07-26

乱世佳人断佳话
关注
Spring属性拦截器@InitBinder搭配@RequestBody使用
Java_Mrsun的博客
04-21 1398
前言: Spring属性拦截器@InitBinder搭配@RequestBody使用,导致dto内属性拦截不到的问题。 查找了许多文档,发现原文里面说了,用@RequestBody注释的的确不生效,但我们又有这个需求,怎么办呢,经过我研究,阅读源码之后决定用反射来实现一些我们需要的功能,写到最后发现可以用拦截器或者aop实现有可能会更简单一点,但还是记录一下吧,给大家参考,把代码贴出来,大家一...
spring3.2.4全部jar
01-06
Spring 3.2.4 全部JAR:核心组件与框架集成解析》 Spring框架,作为Java领域最为广泛使用的轻量级框架之一,以其模块化、易扩展的特性深受开发者喜爱。Spring 3.2.4是该框架的一个稳定版本,包含了多个关键模块...
SpringMVC @RequestBody接收Json对象字符串
程序员陆通
12-11 1117
@RequestMapping(value="/test1") @ResponseBody public Object test1(@RequestBody Video result) { return "xxs"; }html:<html> <head> <meta http-equiv="Content-Type" content="text/html; c
@InitBinder 注解
最新发布
weixin_46589153的博客
07-27 552
@InitBinder 注解
initbinder对ajax不起作用,ajax – @InitBinder与@RequestBodySpring 3.2.4转义XSS
weixin_35245810的博客
08-05 350
我在我的方法有一个@RequestBody注释参数,如下所示:@RequestMapping(value = "/courses/{courseId}/{name}/comment", method = RequestMethod.POST)@ResponseStatus(HttpStatus.OK)public @ResponseBody CommentContainer addComment...
@RequestBody接收json字符串,自动将日期字符串转换为java.util.Date
u011679955的博客
02-06 4693
1.配置springMVC可以接收json字符串 [html] view plain copy xml version="1.0" encoding="UTF-8"?>  beans      xmlns="http://www.springframework.org/schema/beans"      xmlns:xsi="http://www.w3.org/20
@initBinder
u012562117的博客
04-12 1280
@initBinder webDataBinder API文档,查看配置
spring3.2.4相关jar包
12-15
java spring3.2.4 jar包 spring-aop-3.2.4.RELEASE spring-aspects-3.2.4.RELEASE spring-beans-3.2.4.RELEASE spring-build-src-3.2.4.RELEASE spring-context-3.2.4.RELEASE spring-context-support-3.2.4.RELEASE...
spring3.2.4
05-15
Spring 3.2.4是Spring框架的一个稳定版本,发布于2013年,它在3.2系列提供了许多增强和改进的功能。Spring框架是Java开发的一个核心库,用于简化企业级应用程序的创建,它实现了依赖注入(DI)和面向切面编程...
spring 3.2.4官网jar包
08-19
Spring 框架是Java开发的一个核心框架,它提供了全面的编程和配置模型,旨在简化企业级应用的创建和维护。Spring 3.2.4.RELEASE 是该框架的一个稳定版本,发布于2013年,为开发者带来了诸多改进和新特性。 1. **...
Spring源码解析4章150页+Spring3.2.4文注释源码
03-25
1、Spring概述 2、一切从bean开始 3、俯瞰Spring架构设计 4、Spring源码下载 二阶段 1、什么是IOC/DI 2、SpringIOC体系结构 3、源码分析-IOC容器的初始化 4、源码分析-IOC容器的依赖注入 5、源码分析-IOC容器的高级...
彻底根治Spring @ResponseBody JavaScript HTML特殊字符
01-12
Spring MVC下彻底解决@ResponseBody转义html特殊字符问题,解决包括尖角号(),单引号('),双引号("),按位与(&),反斜杠(\)。
SpringMVC使用@PathVariable,@RequestBody,@ResponseBody,@RequestParam,@InitBinder
weixin_33812433的博客
08-03 125
@Pathvariable public ResponseEntity&lt;String&gt; ordersBack(           @PathVariable String reqKey,           @RequestParam(value="intVal") Integer intVal,           @RequestParam(value="st...
@requestBody注解的使用
你好,摆渡人的博客
09-01 3503
@requestBody注解的使用 1、@requestBody注解常用来处理content-type不是默认的application/x-www-form-urlcoded编码的内容,比如说:application/json或者是application/xml等。一般情况下来说常用其来处理application/json类型。 2、通过@requestBody可以将请求体的JSON字符串绑定到相应的bean上,当然,也可以将其分别绑定到对应的字符串上。     例如说以下情况:     $.ajax({
@ResponseBody
yangguangxiadeshu的专栏
05-29 631
@ResponseBody可以标注任何对象,由Srping完成对象——协议的转换。 @responsebody表示该方法的返回结果直接写入HTTP response body 一般在异步获取数据时使用,在使用@RequestMapping后,返回值通常解析为跳转路径,加上@responsebody后返回结果不会被解析为跳转路径,而是直接写入HTTP response body。比如异步获取
关于 @mvc:annotation-driven @InitBinder
爱笑的博客
05-14 459
会自动注册RequestMappingHandlerMapping ,RequestMappingHandlerAdapter 与 ExceptionHandlerExceptionResolver 三个bean 还将提供以下支持:  支持使用 ConversionService 实例对表单参数进行类型转换  支持使用 @NumberFormat annotation、@Date
spring mvc responseBody 会把特殊字符转义
woshixushigang的专栏
07-26 7715
框架用的spring 采用spring mvc 方式进行图片上传,并返回json数据。发现预览图片时候是可以的,但是js里面取到的data.photo路径里面的文件名被转义了。 我上传的文件名为:               42173919,3953927258&amp;fm=52&amp;gp=0.jpg 经过spring mvc 转之后 变为:42173919,3953927258&am...
合理使用转义字符,事半功倍(处理特殊字符串)
小柯的的博客
11-08 753
什么是转义字符 如何使用转义字符 问题开始于我想打印如下字符串 {“method”:“update”,“gatewayNo”:“02”,“userkey”:“30e217750d7e48008d8595105a14df2d”}&^!< 因为这个字符串里面有双引号"", 直接用printf(" ");显然不行,不信你可以去试试!!然后我就想到了能不能把它放进数组里,再输出数组呢?动手一试,数组初始化还是不行,里面有’’’’,好家伙,数组不行啊,怎么办呢?这串数据没法打印了??? 后来请教
Spring 的 @RequestBody json 请求数据做 XSS 过滤
【欢迎关注公众号:冬瓜白】
11-17 2861
关于xss过滤,网上大都是是对 param的,这个很多文章了 定义过滤器。XSSFilter 不说了, 参考 https://blog.csdn.net/yucaifu1989/article/details/61616554 还有就是对所有@ResponseBody 返回内容做XSS过滤的方案: MappingJackson2HttpMessageConverterobjectMapper 做设置 参考 百度 那么对 @RequestBody 的 json 数据怎么过滤呢: spring
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值