How to html escape values by Jackson generator

Question

我們使用Spring及其內置的MappingJacksonHttpMessageConverter生成大量的JSON對象。非常棒。

但是現在我想要html轉義我的（任何一種）對象的字符串值爲了防止XSS。

那麼，我該如何解決這個問題？我首先想到我可以編寫一個自定義對象映射器並將它放入MappkingJacksonHttpMessageConverter。但是，writeValue需要一個對象，我不希望這樣，我想讓其字段迭代。我敢打賭，傑克遜轉換器也需要這樣做。所以我想影響那部分。

現在我結束了一個SerializerProvider接口。標準實現（StdSerializerProvider）被ObjectMapper調用。因此，我想覆蓋/影響負責設置值的方法。

這可能嗎？據我所知，這很難延續。我無法重寫StdSerializerProvider以覆蓋ObjectMapper使用的方法。也許我需要重寫另一個？

或者，這可能是完全錯誤的，我需要從完全不同的角度來看待它？

有什麼想法？

哦順便說一句，自己實現SerializerProvider並創建委託給StdSerializerProvider的組合可能是可能的，但我寧願不要。 （我自己已經有問題實例化StdSerializerProvider）。

任何想法感謝！

Answer 1

有多種方式，這取決於你如何識別東西要逃逸。一些想法：

• 如果你想引用/逃避所有字符串，您可以定義自定義字符串串行
• 你可以先序列化爲JSON樹（JsonNode） - ObjectMapper.convertValue（POJO，JsonNode.class） - 修改它，然後序列化爲JSON（ObjectMapper.writeValue（intermediateTree））
• 如果您想要一個靈活的系統，您可以爲需要特殊處理的字段添加註釋，可以使用ContextualSerializers的Jackson 1.7功能;自定義序列化程序，可以根據註釋重新配置它自己。它可能看起來像是一個矯枉過正的開始，但這可以用來輕鬆指定自定義修飾符（具有Class值的註釋屬性，指示串行器可調用修改正在序列化的值的對象 - 如轉義）

Answer 2

已回答此答案，而問題是關於驗證該字符串不包含XSS並且沒有轉義。如果你想逃避絃樂，這個答案不會幫助你。

那麼驗證創建的對象（命令對象）JSR 303 Bean Validation怎麼樣？

例如對「Command Object」的String屬性使用not @NotHtml（註釋和驗證）。

（當然，你有你的selfe到implment的@NotHtml（@NotJavaScript或@NotXSS）註解和驗證。）