SpringMVC 过滤 Json 数据中的 XSS

如果用 request.getparam 之类的可以谷歌下 spring mvx filter xss 这个文章
http://lawrence-zxc.github.io/2012/11/26/spring-mvc-xss/
还有一种你是 requestbody 这种的话上面就不适合了 你需要改写你可以看下这个文章
http://stackoverflow.com/questions/25403676/initbinder-with-requestbody-escaping-xss-in-spring-3-2-4
反正不懂的多百度 百度不到的 多谷歌 用英文的关键词就行了
其实 xss 可以在渲染或者响应输出的时候做，统一处理这样子的话 就不会漏掉

@jhonRawls 我找到的例子都是对输入过滤，所以就写了输入的。请问可以指点下输出过滤么 QAQ

@jhonRawls 第一篇文章和我现在的 filter 一模一样，但是不能过滤 json 的内容。</br>第二篇文章貌似讲的是输出过滤？好像并没有解决 requestbody 过滤的问题。

http://ju.outofmemory.cn/entry/63726
这个是 response 可以过滤 ，我想 requestBody 应该也是一样的 拿到 json 属性 然后序列化成对象 这个要重写 spring mvc 转换 application/json 转换方法

@jhonRawls 这个我配置失败了，不知道什么问题。而且他这个过滤太死板，富文本会完全废掉。
有基于 SpringMVC4 的实例么，难道都是在 nginx 做的么

富文本的话你前端可以做下过滤然后提交给后端，
另外一种的话 你可以不过滤特殊字符，在渲染的时候你转译一下，比如你用 freemarker 的话 你可以参考下这个文章
http://yshjava.iteye.com/blog/1870320

@jhonRawls 前端不安全，前端可以绕过。渲染转义不行，会把正常的标签也转没用。

@jhonRawls 实际上有方法过滤 <a href='http://www.open-open.com/jsoup/'>jsoup</a>可以白名单过滤。现在就是 json 不好过滤，并且没有发现什么 demo 可以参考。

@wysnylc 同遇到问题，目前近况如何~

@jhonRawls 我现在把表单过滤好了， ResponseBody 也可以过滤。但是有一种尴尬的情况就是，如果是用的 json 提交的数据但是是正常的后台渲染的数据的时候， xss 就会成功触发。
我应该做 requestBody 的过滤还是 Response 的过滤呢？还是都做？没有思路呀 QAQ

@cnlinjie 现在已解决表单和 json 的 xss 过滤
@jhonRawls 感谢提点！

@cnlinjie 在么，可以帮帮我么，我继承的 MappingJackson2HttpMessageConverter 这个类，不走子类的 read

@dreamflying3 断点确定是否真的没走,xml 中确定是否已经指定子类

@wysnylc 已经解决了。谢谢

@dreamflying3 我的跟你情况一样，也是不走子类，可以帮我么