如何通过Jackson生成器对Escape值进行HTML转换

我们使用Spring及其内置的MappingJacksonHttpMessageConverter生成许多JSON对象。一切都很好。

但是现在我想对我（任何类型）对象的String值进行，以防止XSS。

那么，我该如何解决这个问题呢？我首先想到我可以编写一个自定义对象映射器，然后将其放入MappkingJacksonHttpMessageConverter中。但是，writeValue需要一个Object，我不想要那个，我想让它的

进行迭代。我敢打赌杰克逊转换器也需要自己做，而不是自己做。所以我想影响那部分。

现在，我得到一个SerializerProvider接口。ObjectMapper调用了标准实现（StdSerializerProvider）。因此，我想在某处覆盖/影响负责设置值的方法。

那可能吗？据我所知，很难扩展。我无法覆盖StdSerializerProvider来覆盖ObjectMapper使用的方法。也许我需要覆盖另一个？

或者，也许这是完全错误的，我需要从一个完全不同的角度来解决？

有什么想法吗？

哦，顺便说一句，我自己实现SerializerProvider并创建一个委托给StdSerializerProvider的复合程序是可能的，但我宁愿不这样做。（我已经无法亲自实例化StdSerializerProvider）。

任何想法表示赞赏！

有多种方法，具体取决于您如何识别要逃避的事物。一些想法：

您可以首先序列化为JSON树（JsonNode）-ObjectMapper.convertValue（pojo，JsonNode.class）-对其进行修改，然后序列化为JSON（ObjectMapper.writeValue（intermediateTree））

如果您想要一个灵活的系统，可以为需要特殊处理的字段添加注释，则可以使用ContextualSerializers的Jackson 1.7功能；可以基于注释重新配置自身的自定义序列化程序。乍一看似乎有些矫kill过正，但这可用于轻松地指定自定义修饰符（具有Class值的注释属性，它指示序列化程序可以调用以修改要序列化的值的对象，例如转义）