使用springboot自带的jackson,新增转换器
SimpleModule jsonStringModule = new SimpleModule("JsonStringModule", PackageVersion.VERSION);
jsonStringModule.addSerializer(new JsonHtmlXssSerializer(String.class));
jsonStringModule.addDeserializer(String.class,new JsonHtmlXssDESerializer());
mapper.registerModule(jsonStringModule);
分为Deserializer和Serializer,处理两种情况:
一种是前端向后端提交的参数,使用 Deserializer ,在其中处理转义逻辑。
一种是后端向前端返回的参数,使用Serializer,在其中处理转义逻辑。
其中,处理转义逻辑已有公用的第三方方法可用
apache的 StringEscapeUtils.escapeHtml4(node.asText());
spring的 HtmlUtils.htmlEscape();
也可以自己实现一个XSSHTMLFilterUtil (已经做了一个),自己实现的好处是,处理富文本的时候,可以设置一些html标签不过滤,比如 <b> <div>,还可以设置是将标签转义还是直接替换为空。