spring4, xss filter для ajax json запросов / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / spring4, xss filter для ajax json запросов

1 сообщений из 1, страница 1 из 1

spring4, xss filter для ajax json запросов

#39081244

breath

Участник

Сообщения: 178

Рейтинг: 0 / 0

имеется spring4, jackson lib задача сделать фильтр xss для всего приложения,
для обычных http запросов это решается стандартным фильтром

Код: java

1.
2.
3.
4.
5.
6.
7.
8.

@WebFilter(filterName = "XSSFilter", urlPatterns = {"/*"})
public class XSSFilter implements Filter {
...
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest)request), response);
    }
}

проходим по реквесту и очищяем вредные символы

как подобное сделать для json xmlHttpRequest (ajax) ?

по сути нужно пройтись по json и удалить из значений все ненужное,
нашел вариант где подобное делается с кустомным сериализатором

Код: java

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.

@Configuration
public class AppWebMvcSupport extends WebMvcConfigurationSupport {

    @Override
    public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
        converters.add(converter());
        addDefaultHttpMessageConverters(converters);
    }

    @Bean
    public MappingJackson2HttpMessageConverter converter() {
        MappingJackson2HttpMessageConverter ret = new MappingJackson2HttpMessageConverter();
        ret.setObjectMapper(new CustomObjectMapper());
        return ret;
    }
}

Код: java

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.

public class CustomObjectMapper extends ObjectMapper {

    public CustomObjectMapper() {
        SimpleModule module = new SimpleModule("xss serializer");
        System.out.println("+++ ");
        //module.addSerializer(new JsonXSSSerializer());
        module.addSerializer(String.class, new JsonXSSSerializer());
        registerModule(module);
        //setSerializationInclusion(JsonInclude.Include.NON_NULL);
    }
}
class JsonXSSSerializer extends JsonSerializer<String> {

    @Override
    public void serialize(String s, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException, JsonProcessingException {
        if(null != s) {
            String val = encodeHtml(s);
            jsonGenerator.writeString(val);
        }
    }

    private String encodeHtml(String s) {
        //clean xss
        System.out.println("!!! " + s);
        return s;
    }

}

при использовании

Код: java

module.addSerializer(new JsonXSSSerializer());

при деплое приложения была ошибка Serializer does not define valid handledType()

тут http://stackoverflow.com/questions/7161638/how-do-i-use-a-custom-serializer-with-jackson
нашел другую сигнатуру вызова

Код: java

module.addSerializer(String.class, new JsonXSSSerializer());

теперь деплоиться нормально, но все линки битые с ошибкой

No mapping found for HTTP request with URI [/static/css/jquery-ui-1.11.0.min.css] in DispatcherServlet with name 'dispatcher'
и тд..

как данную задачу решить ?

p.s
в данный момент использую все классы для сериализации из неймспейса

Код: java

com.fasterxml.jackson.*

и тд..

так же есть более старый вариант с

Код: java

org.codehaus.jackson.*

тоже не работает
https://stefanhendriks.wordpress.com/tag/objectmapper

спасибо

...

Рейтинг:

0 / 0

20.10.2015, 14:08

| Ответить | Цитировать | Написать

1 сообщений из 1, страница 1 из 1

Форумы / Java [игнор отключен] [закрыт для гостей] / spring4, xss filter для ajax json запросов

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=59&fpage=115&tid=2124802]:	0ms
get settings:	7ms
get forum list:	16ms
check forum access:	3ms
check topic access:	3ms
track hit:	55ms
get topic data:	11ms
get forum data:	2ms
get page messages:	35ms
get tp. blocked users:	1ms
others:	208ms

total:	341ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы