使用 XML Content-Type 防止 Jersey 中的 XSS 攻击

Preventing XSS attacks in Jersey with XML Content-Type

我正在使用 Content-Type 为 JSON 的 Jersey REST 服务。为此,我使用 AntiSamy 来过滤 XSS 攻击。

现在我需要支持 XML Content-Type,AntiSamy 将 XML 视为威胁,我的所有请求都被视为攻击。

如何支持 XML 作为 Content-Type 并避免 XSS 攻击(过滤)?谢谢

由于 AntiSamy 对 XML 没有帮助,我使用了基于正则表达式的验证。

Jersey Bean 验证在这里不起作用。使用 ESAPI 编码器并对输入进行规范化,并使用 http://java.dzone.com/articles/stronger-anti-cross-site

中提到的正则表达式进行验证

Jersey ContainerRequestFilter 代替了普通过滤器。