本文介绍了如何配置 Spring Boot 应用,使其在使用 Jackson 反序列化 XML 请求体时,能够严格校验并拒绝包含未知属性的请求,从而保证数据的完整性和安全性。通过配置 `spring.jackson.deserialization.fail-on-unknown-properties` 属性,可以实现这一功能,并有效防止恶意或错误的请求数据进入系统。
在使用 Spring Boot 构建 RESTful API 时,我们经常需要处理 XML 格式的请求数据。默认情况下,Jackson 库(Spring Boot 默认的 JSON/XML 处理库)在反序列化 XML 时,会忽略请求体中未在 Java 类中定义的属性,这可能会导致数据丢失或潜在的安全问题。为了避免这种情况,我们需要配置 Spring Boot,使其在遇到未知属性时抛出异常。
配置 Jackson 以禁止忽略未知属性
Spring Boot 提供了便捷的方式来配置 Jackson 的反序列化行为。只需在 application.properties 或 application.yml 文件中添加以下配置:
spring.jackson.deserialization.fail-on-unknown-properties=true
或者,在 application.yml 中:
spring: jackson: deserialization: fail-on-unknown-properties: true
这个配置告诉 Jackson 在反序列化过程中,如果遇到目标类中不存在的属性,则抛出一个 com.fasterxml.jackson.databind.exc.UnrecognizedPropertyException 异常。
示例代码
假设我们有以下 Kotlin 数据类 Data:
data class Data( val item: String? = null)
以及一个处理 POST 请求的 Controller:
Lifetoon
免费的AI漫画创作平台
92 查看详情
import org.springframework.http.MediaTypeimport org.springframework.web.bind.annotation.PostMappingimport org.springframework.web.bind.annotation.RequestBodyimport org.springframework.web.bind.annotation.RestController@RestControllerclass DataController { @PostMapping("/data", consumes = [MediaType.APPLICATION_XML_VALUE], produces = [MediaType.APPLICATION_XML_VALUE]) fun pushMasterData(@RequestBody data: Data): Data { return data }}
如果我们发送以下 XML 请求:
foo This should not be allowed!
在没有配置 spring.jackson.deserialization.fail-on-unknown-properties=true 的情况下,服务器会接受这个请求,并且 Data 对象中的 item 属性会被正确赋值为 “foo”,而 trash 属性会被忽略。
但是,配置了 spring.jackson.deserialization.fail-on-unknown-properties=true 之后,服务器会返回一个 400 Bad Request 错误,并包含一个 UnrecognizedPropertyException 异常信息,指出 trash 属性无法被识别。
注意事项
确保你的项目中引入了 Jackson XML 依赖。通常,在使用 spring-boot-starter-web 或 spring-boot-starter-webflux 时,Jackson 依赖会被自动引入。如果没有,你需要手动添加:
com.fasterxml.jackson.dataformat jackson-dataformat-xml
如果你的请求体使用了 XML 根元素,例如 , 并且你希望 Jackson 直接将 XML 的子元素映射到 Data 类的属性,你需要使用 Jackson 的 XML 注解来配置映射关系。例如,可以使用 @JacksonXmlRootElement 和 @JacksonXmlProperty 注解。
总结
通过配置 spring.jackson.deserialization.fail-on-unknown-properties=true,我们可以有效地防止 Spring Boot 应用在处理 XML 请求时忽略未知属性,从而提高数据的完整性和安全性。这是一种简单而有效的防御性编程实践,建议在所有需要处理 XML 数据的 Spring Boot 应用中启用。
以上就是Spring Boot XML Jackson 校验:禁止忽略未知属性的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/896363.html
微信扫一扫 
支付宝扫一扫 
