定製Spring參數解析器

Question

我正在尋找添加一些嚴格的跨腳本規則到我的基於Spring的應用程序。我將推薦的html'defaultHtmlEscape'添加爲true並使用了該標籤，但仍然有一些我們想要阻止的事情。我決定使用https://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Project的java html sanitizer。這將要求我在每個讀取參數的地方調用清理函數，這在很多地方都是變化的。我能做到這一點嗎？也許，通過它解析所有參數的類？我看到NamedParameterUtils在Spring中用於解析參數。有沒有辦法擴展它？

是否有任何其他方式在Spring框架中做到這一點？

任何指針，非常感謝。

感謝，

阿莎

Answer 1

不願意回答我的問題。你可以在Spring中添加一個過濾器類並讓參數通過它們。有關詳細信息，請參見：「過濾方法」部分中的http://jeevanpatil.wordpress.com/2011/07/22/prevention_of_xss/。