代码之家 › 专栏 › 技术社区 › rmeertens

XSS攻击:更改Spring Boot Crudepository中引发的异常?

xss exception-handling spring-boot spring java

rmeertens · 技术社区 · 7 年前

我正在为一个应用程序开发一个API,该应用程序能够根据其solutionID(是一个整数)找到所谓的ProductSolutions。

@Repository
public interface ProductSolutionRepository extends CrudRepository<ProductSolution, String> {

    public List<ProductSolution> findBySolutionId(@Param("solutionId") int solutionId);
}

发送带有字符串而不是整数的请求时( localhost:8080/api/v1/productSolutions/search/findBySolutionId?solutionId=dangerousscript )API返回错误,并显示以下消息:

“危险脚本”;嵌套异常为 Java语言lang.NumberFormatException:对于输入字符串: \“危险脚本”`

虽然Chrome和Firefox似乎很巧妙地避开了输入(并且不执行任何脚本),但人们仍然担心我们的API可能被用于跨站点脚本攻击。

解决这个问题的一个简单方法是删除用户在抛出异常时提供的输入,或者创建自己的错误页面。我可以用什么方式配置spring boot以引发自定义异常?

1 回复 | 直到 7 年前

Krzysztof AtÅasik 7 年前

您可以使用 @ExceptionHandler 课堂上用注释 @ControllerAdvice .

您可以使用 @ResponseBody (如果您没有使用 @RestController

@ControllerAdvice
public class RestExceptionControllerAdvice {

    @ExceptionHandler(NumberFormatException.class)
    public ErrorResponse handleSearchParseException(NumberFormatException exception) {
       // do whathever you want
   }

}

推荐文章

M.Jane · 组织和编写异常类的正确方法

6 年前

shubham daharwal · java中的内部捕获异常

6 年前

eddiewastaken · 如何在不中断for循环的情况下抛出异常?

6 年前

Jon · 如何在不需要任何操作的情况下处理Python异常

6 年前

GuidoG · 适配器。Update首先转到Rowupdated事件,然后再转到catch块

6 年前

felix1415 · C++捕获(标准::异常和e)与捕获(…)

6 年前

missingfaktor Kevin Wright · 非致命性渔获物可以丢弃吗?

6 年前

Harsha · spring boot中Rest资源的NotImplementedException

6 年前

k0pernikus · 如何在scala中键入可能引发异常的函数?

6 年前

MMMMMCK · C++获取std::out\u of\u range异常的位置

6 年前