如何转回被 xssfilter 转义的字符
当 xssfilter 检测到非法字符时,它会将这些字符转义以防止跨站脚本攻击。然而,当您希望在返回页面时还原这些字符时,可能需要采取额外的步骤。
在 java 代码中转换
一种方法是在 java 代码中使用 stringescapeutils 或类似的库手动转换转义的字符。例如:
string originalstring = "<script>alert('xss')</script>";
string escapedstring = stringescapeutils.escapehtml4(originalstring);
string unescapedstring = stringescapeutils.unescapehtml4(escapedstring);使用 responsebodyadvice
另一种方法是使用 spring responsebodyadvice。responsebodyadvice 允许您在返回页面之前拦截和修改 http 响应主体。您可以使用该方法来将转义的字符替换为原始字符。
在 spring boot 应用程序中,您可以创建一个实现 responsebodyadvice 接口的 bean:
@RestControllerAdvice
public class UnescapeResponseBodyAdvice implements ResponseBodyAdvice<Object> {
@Override
public boolean supports(MethodParameter returnType, Class<? extends HttpMessageConverter<?>> converterType) {
return true;
}
@Override
public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType,
Class<? extends HttpMessageConverter<?>> selectedConverterType, ServerHttpRequest request, ServerHttpResponse response) {
if (body instanceof String) {
return StringEscapeUtils.unescapeHtml4((String) body);
}
return body;
}
}通过这种方式,所有返回的字符串响应主体都会在返回页面之前自动还原转义的字符。
