在若依的二次开发中遇到图片上传失败的问题,报错原因是JSON解析异常,关联到XXS防御。方法一是临时放开XXS防御策略,但这会降低安全性。更好的解决方案是对包含反斜杠的数据进行转义处理,确保在前后台传输时安全,从而避免XXS攻击。
阿丹:
场景描述:
在对若依进行二次开发的过程中,富文本编辑器中的图片上传阶段出现问题。
导致不能正常添加。
报错信息为:
nested exception is com.fasterxml.jackson.core.JsonParseException: Unexpected character ('/' (code 47)): maybe a (non-standard) comment? (not recognized as one since Feature 'ALLOW_COMMENTS' not enabled for parser)
报错原因:
JSON中的反斜杠(\)用于对特殊字符进行转义,在字符串中表示引号。而XXS(跨站脚本攻击)是一种利用Web应用程序中未正确过滤或验证用户输入的漏洞,攻击者可以通过注入恶意脚本代码来窃取用户的敏感信息。在某些情况下,如果JSON数据未正确处理反斜杠的转义,就可能导致XXS攻击。通过在JSON字符串中注入恶意代码,攻击者可以绕过前端的安全机制,并在用户的浏览器中执行恶意操作。因此,在处理用户输入并生成JSON数据时,应该始终进行适当的转义和验证,以防止XXS攻击。
解决问题:
方法一:报错的原因是XXS的防御策略,那么不是很严谨的做法是在若依的配置文件中将对应的文件路径放开。
将发生该异常的错误放在排除连接下面
这样做的弊端就是放弃了system/tissue这个端口的XXS防御策略。不是很安全。
但是可以解决这个报错
扫一扫
8893
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
