Hibernate Validator的@SafeHtml来验证字符串有什么替代方案?
2022-09-02 10:20:32
如 JavaDocs 中所述,它将在将来的发行版中删除。是否有任何替代库通过注释进行类似的工作?
答案 1
让我们首先解释一下弃用的原因:由于这个限制,我们最近遇到了一个安全问题(CVE)。这是由于我们的实现中的错误,但它使我们意识到这是非常脆弱的,并且可能是一罐安全方面的蠕虫。
现在的替代方法是根据我们最新的实现自己实现它,并在您自己的应用程序中维护它(可能由您自己进行调整)。
我们的博客上有一篇非常好的文章,解释了如何轻松做到这一点: https://in.relation.to/2017/03/02/adding-custom-constraint-definitions-via-the-java-service-loader/ .
基本上,这种变化是我们说,我们不想承担那些可能脆弱且需要大量关注的事情的责任,并且可能会针对部署它的应用程序平台进行调整。
更新:我在这里发布了完整的公告:https://in.relation.to/2019/11/20/hibernate-validator-610-6018-released/。
答案 2
我的解决方案:
啪.xml
<dependency>
<groupId>org.jsoup</groupId>
<artifactId>jsoup</artifactId>
<version>1.14.2</version>
</dependency>
NoHtml.java
@Documented
@Constraint(validatedBy = NoHtmlValidator.class)
@Target({METHOD, FIELD})
@Retention(RUNTIME)
public @interface NoHtml {
String message() default "Unsafe html content";
Class<?>[] groups() default {};
Class<? extends Payload>[] payload() default {};
}
NoHtmlValidator.java
public class NoHtmlValidator implements ConstraintValidator<NoHtml, String> {
@Override
public boolean isValid(String value, ConstraintValidatorContext ctx) {
return value == null || Jsoup.isValid(value, Safelist.none());
}
}
任何豆类:
@NoHtml
private String name;
请参阅 jsoup - Sanitize HTML 和 Sanitizing User Input,第 II 部分(使用 Spring REST 进行验证)
更新:更改为Jsoup.clean..equals..Jsoup.isValid
推荐
-
如何使用Java中的RESTful Web服务获取远程/客户端IP地址? 我已经在我的项目中编写了Rest Web服务。Web服务调用可能来自不同 machine.so 我需要通过REST Web服务找出IP地址。 从这个请求.getRemoteAddr()使用这个。 但是我不能使用getRemoteAddr()。因为我的请
-
从包含大量文件的zip文件中提取1文件的最快方法是什么? 我尝试了但它们也缺少一些东西。 LZMA SDK不提供一种如何使用的文档/教程,这非常令人沮丧。没有 javadoc。 虽然7z jbinding没有提供一种简单的方法来只提取1个文件,但是,它只提供了提取zip文件
-
输入/输出流在销毁时是否关闭? Java 中的 InputStreams 和 OutputStreams 是否在销毁时关闭()?我完全理解这可能是不好的形式(特别是在C和C++世界中),但我很好奇。 另外,假设我有以下代码: 无名的FileInputStream是否在p.load
-
Java 程序中的字符串大小是否有任何限制? 我有一个字符串定义为 字符串 xx 我可以分配的字符数是否有任何限制? 2) 我正在将用户输入分配给此字符串 xx。70%的人只说一个字。有时他们给出一个大句子,所以想知道可
-
标签
推荐