使用 JSON Sanitizer 清理来自 Spring MVC 控制器的响应 JSON?

【问题标题】:Sanitizing response JSON from Spring MVC Controller using JSON Sanitizer?使用 JSON Sanitizer 清理来自 Spring MVC 控制器的响应 JSON?
【发布时间】:2015-11-15 05:38:02
【问题描述】:

我想截获从 Spring MVC Rest Controller 发回的 JSON,并通过一个确保其有效且 HTML 转义任何不可靠字符的清理程序运行它。 (可能是OWASP JSON Sanitizer

我们使用 Jackson HTTP 消息转换器将 @ResponseBody 转换为 JSON,据我所知,一旦我将对象作为 @ResponseBody 返回,我就会失去对它的控制。

是否有一种明智的方法可以将 JSON 作为字符串截获以在其上运行清理代码?

我目前正在研究三种途径:

  1. 编写过滤器和 ResponseWrapper,在 JSON 发送回客户端之前对其进行清理。
  2. 以某种方式扩展 JSON 映射器以提供经过净化的 JSON。
  3. 编写处理程序拦截器并使用它来修改响应。

我不确定这两种方法是否可行,或者是否有更明智的第三种选择。

【问题讨论】:

  • 为什么要对 JSON 进行 HTML 转义? JSON 应该包含未格式化的数据,因此任何类型的客户端都可以使用它来显示它想要的任何内容。如果客户端选择在 HTML 中插入此数据,那么客户端有责任正确执行此操作。不是服务器。
  • 我对这个问题的理解是,我们希望确保任何恶意插入的数据在后端请求时都不会做任何调皮的事情。我在第 11 个小时被叫来,并被告知确保以下字符在 JSON 消息的输出中被转义:%、&、*、$、#、@、!、\、/、:、*、 ?, ", , |, ;, '

标签: java json spring-mvc owasp


【解决方案1】:

我知道这个答案可能为时已晚,但我需要做同样的事情,所以我在 JSON 映射器中添加了一个序列化程序。

网页配置:

import java.util.List;
import org.springframework.context.annotation.Bean;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;
import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
import com.fasterxml.jackson.databind.ObjectMapper;

@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {
    @Override
    public void configureMessageConverters(
            List<HttpMessageConverter<?>> converters) {
        // the list is empty, so we just add our converter
        converters.add(jsonConverter());
    }

    @Bean
    public HttpMessageConverter<Object> jsonConverter() {
        ObjectMapper objectMapper = Jackson2ObjectMapperBuilder
                .json()
                .serializerByType(String.class, new SanitizedStringSerializer())
                .build();
        return new MappingJackson2HttpMessageConverter(objectMapper);
    }
}

还有字符串序列化器:

import java.io.IOException;
import org.apache.commons.lang3.StringEscapeUtils;
import com.fasterxml.jackson.core.JsonGenerationException;
import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.SerializerProvider;
import com.fasterxml.jackson.databind.ser.std.NonTypedScalarSerializerBase;

public class SanitizedStringSerializer extends NonTypedScalarSerializerBase<String> {

    public SanitizedStringSerializer() { 
        super(String.class); 
    }

    @Override
    public void serialize(String value, JsonGenerator jgen, SerializerProvider provider)
            throws IOException, JsonGenerationException {
        jgen.writeRawValue("\"" + StringEscapeUtils.escapeHtml4(value) + "\"");
    }
}

【讨论】:

    猜你喜欢
    • 2017-01-07
    • 1970-01-01
    • 2017-05-03
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-12-17
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode