springboot中处理xss攻击的方法
1. xss如何产生的
2. filter过滤非法入参
3. 全局反序列化入参
解决方法
SpringBoot中可以使用全局的反序列化器,对请求中Json格式的参数执行反序列化处理。后端post请求一般使用@RequestBody
接收application/json
格式的参数,然后我们可以转义json参数里的特殊字符。用@RequestParam
、@PathVariable
等非json格式参数不会被反序列化器执行。
实现
这种处理方式需要系统能够容忍<
和>
符号被替换为<
和 >
符号。
@JsonComponent
public class GlobalJsonDeserializer extends JsonDeserializer<String> {
@Override
public String deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException {
// 自定义转义规则
return jsonParser.getValueAsString()
.replace("<", "<")
.replace(">", ">");
}
}