fastjson html转义,SpringMVC通过FastJsonHttpMessageConverter解决XSS攻击

最新推荐文章于 2024-04-21 08:00:00 发布
最新推荐文章于 2024-04-21 08:00:00 发布
阅读量584 收藏
点赞数
文章标签: fastjson html转义

@Bean

public HttpMessageConverters customConverters() {

FastJsonConfig cfg = new FastJsonConfig();

cfg.setCharset(Charset.forName("UTF-8"));

cfg.setDateFormat("yyyy-MM-dd HH:mm:ss");

JsonHttpMsgConverter jsonHttpMsgConverter = new JsonHttpMsgConverter();

jsonHttpMsgConverter.setFastJsonConfig(cfg);

return new HttpMessageConverters(jsonHttpMsgConverter);

}

package com.util.json;

import java.io.IOException;

import java.io.OutputStream;

import java.util.Iterator;

import java.util.List;

import java.util.Map;

import net.sf.json.JSONArray;

import net.sf.json.JSONException;

import net.sf.json.JSONObject;

import org.apache.logging.log4j.Logger;

import org.apache.logging.log4j.LogManager;

import org.springframework.http.HttpOutputMessage;

import org.springframework.http.converter.HttpMessageNotWritableException;

import com.alibaba.fastjson.JSON;

import com.alibaba.fastjson.support.spring.FastJsonHttpMessageConverter;

/**

* JSON格式返回参数转换类

*

*

* @author songxiaotong

* @version [版本号, 2016年10月14日]

* @see [相关类/方法]

* @since [产品/模块版本]

*/

public class JsonConverter extends FastJsonHttpMessageConverter

{

/**

* 日志记录器

**/

private static final Logger LOGGER = LogManager.getLogger(JsonConverter.class);

/**

* 重写writeInternal方法,在返回内容前首先进行HTML字符转义

*

* @param object

* @param outputMessage

* @throws IOException

* @throws HttpMessageNotWritableException

* @see [类、类#方法、类#成员]

*/

@Override

protected void writeInternal(Object object, HttpOutputMessage outputMessage)

throws IOException, HttpMessageNotWritableException

{

// 获取输出流

OutputStream out = outputMessage.getBody();

// 获取要输出的文本

String text = JSON.toJSONString(object, super.getFeatures());

// 对文本做HTML特殊字符转义

String result = convertJson(text);

// 输出转义后的文本

out.write(result.getBytes(super.getCharset()));

}

/**

* JSON参数转义

*

* @param json

* @return

* @see [类、类#方法、类#成员]

*/

private String convertJson(String json)

{

try

{

// 判断是否是JSON对象

if (json.startsWith("{"))

{

// 将参数转换成JSONObject

JSONObject jsonObj = JSONObject.fromObject(json);

// 处理参数

JSONObject myobj = jsonObj(jsonObj);

return myobj.toString();

}

// 判断是否是JSON数组

else if (json.startsWith("["))

{

// 将参数转换成JSONArray

JSONArray jsonArray = JSONArray.fromObject(json);

//处理参数

JSONArray array = parseArray(jsonArray);

return array.toString();

}

else

{

return json;

}

}

catch (JSONException e)

{

LOGGER.error("Json数据解析处理失败!");

return "{}";

}

}

/**

* JSON参数Map(对象)转义

*

* @param json

* @return

* @see [类、类#方法、类#成员]

*/

@SuppressWarnings("rawtypes")

private JSONObject jsonObj(JSONObject json)

{

for (Iterator iter = json.keys(); iter.hasNext();)

{

// 获取对象的key

String key = (String)iter.next();

// 获取对象的值

Object obj = json.get(key);

// 判断对象类型

if (obj instanceof List)

{

json.put(key, parseArray((JSONArray)obj));

}

// 判断是否是对象结构

else if (obj instanceof Map)

{

// 处理参数

json.put(key, jsonObj((JSONObject)obj));

}

else if (obj instanceof String)

{

// 处理参数

json.put(key, convertStr((String)obj));

}

}

return json;

}

/**

* JSON参数List(数组)转义

*

* @param json

* @return

* @see [类、类#方法、类#成员]

*/

private JSONArray parseArray(JSONArray jsonArray)

{

// 判空

if (null == jsonArray || jsonArray.isEmpty() || jsonArray.size() == 0)

{

return jsonArray;

}

//

for (int i = 0, l = jsonArray.size(); i < l; i++)

{

Object obj = jsonArray.get(i);

// 判断是否是数据结构

if (obj instanceof List)

{

// 处理数组对象

parseArray((JSONArray)obj);

}

// 判断是否是对象结构

else if (obj instanceof Map)

{

// 处理参数

jsonObj((JSONObject)obj);

}

// 判断是否是String结构

else if (obj instanceof String)

{

jsonArray.set(i, convertStr((String)obj));

}

}

return jsonArray;

}

/**

* HTML脚本转义

*

* @param str

* @return

* @see [类、类#方法、类#成员]

*/

private String convertStr(String str)

{

// TODO &、、"、'、(、)、%、+、\

return str.replace("&", "&")

.replace("

.replace(">", ">")

.replace("\"", """)

.replace("'", "'")

.replace("(", "(")

.replace(")", ")")

.replace("%", "%")

.replace("+", "+")

.replace("\\", "\");

}

}

weixin_39724287
关注
fastjsonSpringMVC实现自定义HttpMessageConverter接收和获取JSON格式的数据
man_tou_22
03-28 1万+
**引言**:Spring MVC 提供了处理JSON格式请求/响应的HttpMessageConverter利用Jackson 开源包处理JSON格式的请求响应消息。 ```"关键技术"```:  **RequestBody**注解 :用于读取Request请求的Body部分数据,使用系统默认配置的HttpMessageConverter进行解析,然后把相应的数据绑定到C
fastjson 序列化 不包括转义字符_Spring Boot Redis 序列化方案的选择
weixin_39826080的博客
11-14 256
本文同步Java知音社区,专注于Java作者:小哥他三叔http://juejin.im/post/5d5e10d2e51d4561b416d487Redis的使用越来越广泛,当遇见性能瓶颈时,我们应该如何去解决呢?Redis序列化方案Spring Boot RedisSpring Boot Data Redis给我们提供了即插即用的体验,大部分默认配置已经满足了我们的需求,而其中序列化方案选择的...
fastjsonHelloWorld
06-02
fastjson 反序列化 漏洞 POC
FastJsonHttpMessageConverter 返回json字符串有转义
sweet6hero的专栏
08-16 5945
@Configuration public class WebConfigurer extends WebMvcConfigurerAdapter { @Override public void addInterceptors(InterceptorRegistry interceptorRegistry) { interceptorRegistry.addIntercepto...
FastJsonHttpMessageConverter 类的作用与使用详解
qq_28754027的博客
04-03 5694
FastJson是一种高性能的Java JSON解析库,它采用类似于Jackson和Gson的JSON序列化和反序列化机制,但是速度更快。FastJson支持Java对象到JSON的序列化和JSON到Java对象的反序列化,同时支持对JSON字符串的高效解析。
SpringBoot集成FastJsonHTTP消息转换器
u011618818的博客
04-20 585
概述 使用fastjson作为Springboot的HttpMessageConverter,即在Web中返回@ResponseBody时使用的将对象、集合等转为Json的转换器. 在maven中添加依赖 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjso...
Springboot2配置FastJsonHttpMessageConverter不生效,FastJsonHttpMessageConverter返回类型字符串String中文乱码问题
LeoSong121的博客
07-26 6326
com.dreamer.core.converter.FastJsonJsonpHttpMessageConverter@75652058 org.springframework.http.converter.ByteArrayHttpMessageConverter@30fa29ef org.springframework.http.converter.StringHttpMessageConverter@7749f8a4 org.springframework.http.converter.Resour
详解在springmvc解决FastJson循环引用的问题
10-20
为了解决这一问题,FastJson提供了一个解决方案,即通过禁用循环引用检测。具体操作是通过在序列化时指定SerializerFeature.DisableCircularReferenceDetect枚举常量来实现。通过这种方式,FastJson会避免在JSON字符...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
接下来,在Spring MVC的配置文件(如`springMVC.xml`)中,替换原来的`FastJsonHttpMessageConverter`实例为我们的自定义类`JsonHttpMessageConverter`,并设置支持的媒体类型及序列化特性: ```xml <!-- 替换...
fastjson "转义
01-12
Fastjson是一个Java语言编写的JSON处理器,它可以将Java对象转换为JSON字符串,也可以将JSON字符串转换为Java对象。...通过调用`JSON.toJSONString()`方法,我们可以将其转义为`{\"name\":\"John\\\"Doe\"}`。
FastJsonHttpMessageConverter类的作用
ss810540895的博客
09-15 1028
发送post类型的json请求,只需要在body参数中设置json字符串,而不需要设置header参数Content-Type:application/json就可以。我一度还比较纳闷,后来猜测,后台肯定做了什么配置,当接收post请求的时候,默认增加了对字符串转json的支持。接着,修改格式,添加请求头Content-Type:application/json。后来,还发现一个奇怪的问题,设置参数的时候,使用下划线或者驼峰式,后台都可以解析,这个让我有些诧异,怀疑还是转换器的作用。2、参数下划线转驼峰。
SpringBoot更改HttpMessageConverters使用FastJson出现乱码问题
wangpeichuan1的博客
05-22 2744
@beanpublic HttpMessageConverters fastJsonHttpMessageConverters(){ ///创建FastJson信息转换对象 FastJsonHttpMessageConverter fastJsonHttpMessageConverter = new FastJsonHttpMessageConverter(); ...
HttpMessageConverter的作用和fastjson的使用
彪叔的博客
08-10 1414
SpringMVC / SpringBoot中@RequestBody这类注解默认使用的是jackson来解析json 而fastjson更加优秀 使用fastjson对bean进行处理: 依赖: <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>${fastjson.version}&l
Fastjson 爆出远程代码执行高危漏洞
金溪的博客
03-23 4235
fastjson近日曝出代码执行漏洞,恶意用户可利用此漏洞进行远程代码执行,入侵服务器,漏洞评级为“高危”。基本介绍fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器,来自阿里巴巴的工程师开发。漏洞介绍fastjson在1.2.24以及之前版本近日曝出代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程...
FastJson2中FastJsonHttpMessageConverter找不到类问题
最新发布
★【World Of Moshow 郑锴】★
04-21 1651
如果你最近也在升级FastJsonFastJson2版本,而跟我一样也遇到了FastJsonHttpMessageConverter找不到类问题以及FastJsonConfig找不到问题,那么恭喜你,看完本文,安装完fastjson2、fastjson2-extension、fastjson2-extension-spring6这三个类库,你就可以成功使用新版FastJson2了。
fastjson转换html,fastjson 对象字符串互转方法实例
weixin_32451453的博客
05-31 219
/** 文 件 名: FastJsonTest.java* 版 权: Newegg Technologies Co., Ltd. Copyright YYYY-YYYY, All rights reserved* 描 述: * 修 改 人: gc57* 修改时间: 2014-10-23* 跟踪单号: * 修改单号: * 修改内容: */import java.util...
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
程序员小明1024
03-22 672
1. XSS跨站脚本攻击 ① XSS漏洞介绍 跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击! ② XSS漏洞分类 存储型XSS:存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或...
SpringMVC(十四)_处理 JSON:使用 HttpMessageConverter
风清扬
08-20 261
       前言:本篇主要介绍SpringMVC如何处理Json数据,包括接收和响应json数据。 本篇文章重点关注以下问题: 处理json数据示例 关注HttpMessageConverter&lt;T&gt; 1. 处理Json数据的样例          SpringMVC处理Json数据的步骤可以说是简单到没朋友,总共三步: 1. 加入 jar 包(开发过程中...
使用HttpMessageConverters解决精度损失问题导致Feign不能通信
lwy572039941的博客
03-27 4167
使用HttpMessageConverters解决精度损失问题导致Feign不能通信 @Bean public HttpMessageConverters fastJsonHttpMessageConverters() { FastJsonHttpMessageConverter fastConverter = new FastJsonHttpMessageConverter(); Fa...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值