定制Spring参数解析器

Question

我正在寻找添加一些严格的跨脚本规则到我的基于Spring的应用程序。我将推荐的html'defaultHtmlEscape'添加为true并使用了该标签，但仍然有一些我们想要阻止的事情。我决定使用https://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Project的java html sanitizer。这将要求我在每个读取参数的地方调用清理函数，这在很多地方都是变化的。我能做到这一点吗？也许，通过它解析所有参数的类？我看到NamedParameterUtils在Spring中用于解析参数。有没有办法扩展它？

是否有任何其他方式在Spring框架中做到这一点？

任何指针，非常感谢。

感谢，

阿莎

Answer 1

不愿意回答我的问题。你可以在Spring中添加一个过滤器类并让参数通过它们。有关详细信息，请参见：“过滤方法”部分中的http://jeevanpatil.wordpress.com/2011/07/22/prevention_of_xss/。