我在我的Web应用程序中使用Jersey。发送到服务器的数据采用JSON格式,然后在服务器端解组,并将获得的对象用于进一步处理。安全审计提出了这种方法的一些弱点。如何在解组JSON数据的过程中处理解析器异常?
我的休息代码:
@POST
@Path("/registerManga")
@Produces(MediaType.APPLICATION_JSON)
public Response registerManga(MangaBean mBean){
System.out.println(mBean);
return Response.status(200).build();
}
MangaBean:
public class MangaBean {
public String title;
public String author;
@Override
public String toString() {
return "MangaBean [title=" + title + ", author=" + author + "]";
}
public String getTitle() {
return title;
}
public void setTitle(String title) {
this.title = title;
}
public String getAuthor() {
return author;
}
public void setAuthor(String author) {
this.author = author;
}
}
的数据以这种格式发送:
["title":"Bleach","author":"kubo tite"]
上面的数据被成功解组到对象和我得到这个作为输出:
MangaBean [title=Bleach, author=kubo tite]
但是,如果数据被改变为:
["title":"<script>alert("123");</script>","author":"kubo tite"]
时发生500内部服务器错误,并显示给用户:
在javax.servlet.ServletException: org.codehaus.jackson.JsonParseException: Unexpected character ('1' (code 49)): was expecting comma to separate OBJECT entries
at [Source: [email protected]; line: 1, column: 28]
com.sun.jersey.spi.container.servlet.WebComponent.service(WebComponent.java:420)
com.sun.jersey.spi.container.servlet.ServletContainer.service(ServletContainer.java:537)
com.sun.jersey.spi.container.servlet.ServletContainer.service(ServletContainer.java:699)
javax.servlet.http.HttpServlet.service(HttpServlet.java:717)
的""
意外发生导致错误解析器。由于解组是在幕后完成的,我无法控制它,所以我无法处理引发的异常。
我的问题是我如何处理这个异常,并返回一个适当的响应,而不是一个堆栈跟踪用户。请指教。
我真的不明白如何使用@Provider语法。我可以使用它来处理以下情形:当Map为空而不是{}时,Unruly API返回[]。似乎从上面,我可以映射此异常并处理它? – deepwinter 2014-01-30 03:10:44
我无法为我的生活得到这个在泽西2.13工作。啊。 – 2015-01-09 05:47:39
我们正在使用CXF,但无论如何,这工作。谢谢! – fool4jesus 2016-05-02 17:01:21