Problèmes de sécurité lors de l'utilisation de Spring JsonView - Comment éviter le javascript ou le HTML

J'utilise maintenant spring json view pour générer certaines sorties. Pour éviter les attaques XSS, nous devons parfois filtrer la sortie, en échappant aux javascripts et aux balises HTML. Quelle est la meilleure façon de le faire avec Spring json view? Dois-je écrire mon propre JsonViewWriter ou puis-je simplement utiliser sojoJsonWriter et jsonlibJsonWriter avec des configurations supplémentaires?Problèmes de sécurité lors de l'utilisation de Spring JsonView - Comment éviter le javascript ou le HTML

Toute suggestion sera appréciée!

John

Source

2010-12-04 papa99do

Je ne sais pas qui Json View vous parlez de (il y a plusieurs), mais si elle est le « officiel » un « org.springframework.web.servlet.view.json.MappingJacksonJsonView », vous pouvez faites-le de deux façons: 1 - utilisez des annotations jackson sur vos types de données spécifiques pour personnaliser la sérialisation 2- écrivez un org.codehaus.jackson.map.JsonSerializer personnalisé qui fait ce que vous voulez et branchez-le dans l'usine utilisée par votre objet mapper

Source

2010-12-07 21:44:35

Nous utilisons à la fois les implémentations jsonlib et sojo, avec le ressort 2.5.6. Jackson est seulement une option pour le printemps 3, non? – papa99do

Oui. Cela fait partie de Spring à partir de la version 3, mais il doit y avoir un moyen de le porter en arrière. J'ai regardé dans la définition de haricot et il ne semble pas utiliser tout ce qui est nouveau dans 3. –

Problèmes de sécurité lors de l'utilisation de Spring JsonView - Comment éviter le javascript ou le HTML

Répondre

Questions connexes