initbinder对ajax不起作用,ajax – @InitBinder与@RequestBody在Spring 3.2.4中转义XSS

于 2021-08-05 21:47:31 发布
阅读量363 收藏
点赞数
文章标签: initbinder对ajax不起作用

我在我的方法中有一个@RequestBody注释参数,如下所示:

@RequestMapping(value = "/courses/{courseId}/{name}/comment", method = RequestMethod.POST)

@ResponseStatus(HttpStatus.OK)

public @ResponseBody CommentContainer addComment(@PathVariable Long courseId,

@ActiveAccount Account currentUser,

@Valid @RequestBody AddCommentForm form,

BindingResult formBinding,

HttpServletRequest request) throws RequestValidationException {

.....

}

然后我在同一个控制器中有一个@InitBinder注释方法:

@InitBinder

public void initBinder(WebDataBinder dataBinder) {

dataBinder.registerCustomEditor(AddCommentForm.class, new StringEscapeEditor());

}

我的StringEscapeEditor没有运行.但我的initBinder方法是.所以它没有将我的表单映射到转义编辑器.这似乎是在阅读这个帖子后(@InitBinder不支持@RequestMapping):

我测试了映射@PathVariable字符串,然后我的编辑器工作.

这在我的应用程序中是一个大问题,因为我的大多数绑定都是使用@RequestBody完成的,如果我可以应用一些自定义绑定,它会很棒.

解决这个问题最常用的方法是什么?并且为了脚本攻击而逃避我的输入数据.

解决方法:

为了逃避XSS,我建议在输出数据时进行转义,因为正确的转义取决于输出文档.

如果@ResponseBody生成的JSON响应由客户端直接使用,并且没有机会让XSS转义内容,则可以自定义JacksonMessageConverter以对字符串执行XSS转义.

可以像这样自定义JacksonMessageConverter:

1)首先我们创建ObjectMapper工厂,它将创建我们的自定义对象映射器:

public class HtmlEscapingObjectMapperFactory implements FactoryBean {

private final ObjectMapper objectMapper;

public HtmlEscapingObjectMapperFactory() {

objectMapper = new ObjectMapper();

objectMapper.getJsonFactory().setCharacterEscapes(new HTMLCharacterEscapes());

}

@Override

public ObjectMapper getObject() throws Exception {

return objectMapper;

}

@Override

public Class> getObjectType() {

return ObjectMapper.class;

}

@Override

public boolean isSingleton() {

return true;

}

public static class HTMLCharacterEscapes extends CharacterEscapes {

private final int[] asciiEscapes;

public HTMLCharacterEscapes() {

// start with set of characters known to require escaping (double-quote, backslash etc)

asciiEscapes = CharacterEscapes.standardAsciiEscapesForJSON();

// and force escaping of a few others:

asciiEscapes['

asciiEscapes['>'] = CharacterEscapes.ESCAPE_CUSTOM;

asciiEscapes['&'] = CharacterEscapes.ESCAPE_CUSTOM;

asciiEscapes['"'] = CharacterEscapes.ESCAPE_CUSTOM;

asciiEscapes['\''] = CharacterEscapes.ESCAPE_CUSTOM;

}

@Override

public int[] getEscapeCodesForAscii() {

return asciiEscapes;

}

// and this for others; we don't need anything special here

@Override

public SerializableString getEscapeSequence(int ch) {

return new SerializedString(StringEscapeUtils.escapeHtml4(Character.toString((char) ch)));

}

}

}

2)然后我们注册使用我们的自定义对象映射器的消息转换器(xml配置中的示例):

现在,由@ResponseBody创建的所有JSON消息都应该按照HTMLCharacterEscapes中的指定转义字符串.

该问题的替代解决方案:

>在反序列化对象后,XSS将在控制器主体中转义所需的内容

>在输出内容之前,也许XSS在客户端的javascript中转义

除了执行输出转义之外,还可以使用一些输入验证(使用标准的Spring验证方法)来阻止您不希望输入系统/数据库的一些内容.

编辑:JavaConfig

我没有试过这个,但是在Java配置中它应该像这样工作(你不需要上面的Factory Bean,因为你可以在这种情况下在config中设置所有内容):

@Override

public void configureMessageConverters(List> converters) {

super.configureMessageConverters(converters);

converters.add(buildHtmlEscapingJsonConverter());

}

private MappingJacksonHttpMessageConverter buildHtmlEscapingJsonConverter() {

MappingJacksonHttpMessageConverter htmlEscapingConverter = new MappingJacksonHttpMessageConverter();

ObjectMapper objectMapper = new ObjectMapper();

objectMapper.getJsonFactory().setCharacterEscapes(new HTMLCharacterEscapes());

htmlEscapingConverter.setObjectMapper(objectMapper);

return htmlEscapingConverter;

}

请注意,通常配置的任何其他非json默认消息转换器现在都将丢失(例如XML转换器等).如果您需要它们,您需要手动添加它们(您可以看到默认情况下处于活动状态)这里在第2.2:http://www.baeldung.com/spring-httpmessageconverter-rest节)

标签:spring,ajax,spring-mvc,spring-data

来源: https://codeday.me/bug/20190728/1561516.html

无小无
关注
Spring属性拦截器@InitBinder搭配@RequestBody使用
Java_Mrsun的博客
04-21 1422
前言: Spring属性拦截器@InitBinder搭配@RequestBody使用,导致dto内属性拦截不到的问题。 查找了许多文档,发现原文里面说了,用@RequestBody注释的的确不生效,但我们又有这个需求,怎么办呢,经过我研究,阅读源码之后决定用反射来实现一些我们需要的功能,写到最后发现可以用拦截器或者aop实现有可能会更简单一点,但还是记录一下吧,给大家参考,把代码贴出来,大家一...
SpringMVC @RequestBody接收Json对象字符串
weixin_30652491的博客
04-16 374
以前,一直以为在SpringMVC环境@RequestBody接收的是一个Json对象,一直在调试代码都没有成功,后来发现,其实 @RequestBody接收的是一个Json对象的字符串,而不是一个Json对象。然而在ajax请求往往传的都是Json对象,后来发现用 JSON.stringify(data)的方式就能将对象变成字符串。同时ajax请求的时候也要指定dataType: "json...
initbinderajax不起作用,详解SpringMVC注解@initbinder解决类型转换问题
weixin_35107023的博客
08-05 401
在使用SpringMVC的时候,经常会遇到表单的日期字符串和JavaBean的Date类型的转换,而SpringMVC默认不支持这个格式的转换,所以需要手动配置,自定义数据的绑定才能解决这个问题。在需要日期转换的Controller使用SpringMVC的注解@initbinderSpring自带的WebDateBinder类来操作。WebDataBinder是用来绑定请求参数到指定的属性编...
initbinderajax不起作用,InitBinder不被调用/调用
weixin_30789475的博客
08-05 428
Save列表:的人对象列表 的OBJ:Class obj{Person person;getter/setters}在这JSP,我有当选择特定单选按钮附加的人。在控制器端@RequestMapping(value = "/save", method = RequestMethod.POST)public String postProcess(@ModelAttribute("obj") Obj o...
@InitBinder
zyl_yjy_yi的博客
01-14 177
<!-- 添加怪物是,我们使用springmvc标签 1.引入springMVC标签form:form 2.path属性类似我们以前写的name属性 3.如果我们使用springmvc from标签后,要求必须给一个 modelAttribute值,这个值 表示的是model的属性名,即使是空的给一个.,否则报错 --> @InitBind...
spring3.2.4全部jar
01-06
Spring 3.2.4 全部JAR:核心组件与框架集成解析》 Spring框架,作为Java领域最为广泛使用的轻量级框架之一,以其模块化、易扩展的特性深受开发者喜爱。Spring 3.2.4是该框架的一个稳定版本,包含了多个关键模块...
spring3.2.4相关jar包
12-15
java spring3.2.4 jar包 spring-aop-3.2.4.RELEASE spring-aspects-3.2.4.RELEASE spring-beans-3.2.4.RELEASE spring-build-src-3.2.4.RELEASE spring-context-3.2.4.RELEASE spring-context-support-3.2.4.RELEASE...
spring3.2.4
05-15
Spring 3.2.4是Spring框架的一个稳定版本,发布于2013年,它在3.2系列提供了许多增强和改进的功能。Spring框架是Java开发的一个核心库,用于简化企业级应用程序的创建,它实现了依赖注入(DI)和面向切面编程...
spring 3.2.4官网jar包
08-19
11. **Spring Boot**:虽然Spring 3.2.4.RELEASE 不包含Spring Boot,但值得一提的是,Spring Boot后来成为Spring生态的重要组成部分,它简化了Spring应用的启动和配置过程。 12. **注解驱动开发**:Spring 3.2.x ...
spring 3.2.4.RELEASE jar包
10-16
spring 3.2.4 Realease 的所有jar包: spring-context-3.2.4.RELEASE.jar spring-core-3.2.4.RELEASE.jar spring-beans-3.2.4.RELEASE.jar spring-test-3.2.4.RELEASE.jar spring-web-3.2.4.RELEASE.jar spring-aop-...
SpringMVC利用@InitBinder来对页面数据进行解析绑定的方法
08-27
本篇文章主要介绍了SpringMVC利用@InitBinder来对页面数据进行解析绑定的方法,非常具有实用价值,需要的朋友可以参考下
SpringMVC使用@PathVariable,@RequestBody,@ResponseBody,@RequestParam,@InitBinder
weixin_33812433的博客
08-03 133
@Pathvariable public ResponseEntity&lt;String&gt; ordersBack(           @PathVariable String reqKey,           @RequestParam(value="intVal") Integer intVal,           @RequestParam(value="st...
html body init,Spring 3.2.4带有@RequestBody@InitBinder转义XSS
weixin_28686771的博客
07-04 564
小编典典为了逃避XSS,我建议在输出数据时进行转义,因为正确的转义取决于输出文档。如果@ResponseBody客户端直接使用所产生的JSON响应,并且没有机会让XSS转义内容,那么可以自定义JacksonMessageConverter以对字符串执行XSS转义。可以像这样自定义JacksonMessageConverter:1)首先,我们创建ObjectMapper工厂,该工厂将创建我们的自定义...
Spring MVC @InitBinder 不执行竟然和参数有关
bibiye
02-23 1836
如下代码,访问/inPiecesQueryList时,initBinder方法不执行。 [code="java"] @InitBinder public void initBinder(ServletRequestDataBinder binder) { /** * 自动转换日期类型的字段格式 */ binder.registerCustomEdit...
@initBinder
u012562117的博客
04-12 1289
@initBinder webDataBinder API文档,查看配置
关于 @mvc:annotation-driven @InitBinder
爱笑的博客
05-14 471
会自动注册RequestMappingHandlerMapping ,RequestMappingHandlerAdapter 与 ExceptionHandlerExceptionResolver 三个bean 还将提供以下支持:  支持使用 ConversionService 实例对表单参数进行类型转换  支持使用 @NumberFormat annotation、@Date
springmvc的requestBody
不以人人的意志为转义乃天道
06-28 387
Springboot】@RequestBody参数过滤Xss
qq_36798836的博客
09-16 5046
在使用@RequestBody情况SpringBoot 参数并不是封装在parameter里面,所以重写getParameterValues和getParameterValue并不能解决问题,@RequestBody是流的形式,所以写Xss过滤如下: import java.io.ByteArrayInputStream; import java.io.IOException; import ja...
Spring @RequestBody json 请求数据做 XSS 过滤
【欢迎关注公众号:冬瓜白】
11-17 2903
关于xss过滤,网上大都是是对 param的,这个很多文章了 定义过滤器。XSSFilter 不说了, 参考 https://blog.csdn.net/yucaifu1989/article/details/61616554 还有就是对所有@ResponseBody 返回内容做XSS过滤的方案: MappingJackson2HttpMessageConverter 的objectMapper 做设置 参考 百度 那么对 @RequestBody 的 json 数据怎么过滤呢: spring
掌握基础Spring MVC项目搭建与Spring 3.2.4配置
资源摘要信息:"本资源为基础Spring MVC项目,标题为'base-spring-mvc-project',描述为'基础 Spring MVC 项目,Spring 3.2.4 的项目设置',标签为'Java'。项目名称为'base-spring-mvc-project-master',意味着这是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值