[alibaba/fastjson]Fastjson for JAX-RS Provider 支持数据输出xss漏洞安全转义

2025-11-24 554 views 0 likes

具体xss漏洞的data response输出 { "name": "alert(1);", "age": 18 }

安全转义后 { "name": "<script>alert(1);</script>", "age": 18 }

建议方式 fastJsonConfig 可以提供一个方法由使用方set方法是否需要安全转义Feature，类似 fastJsonConfig.setSerializerFeatures(SerializerFeature.DisableCircularReferenceDetect);

tbjinyuan

回答

安全转义后 &lt

tbjinyuan

我总觉得这种validate操作应该是业务的一部分。入库的时候应该就处理转义。

kimmking

SerializerFeature.BrowserSecure

wenshao

话说这安全转义的例子是不是有问题，完全没看出转义前和转义后有什么区别~

vipcxj

@vipcxj 那是github显示问题

tbjinyuan

wenshao