Wie behandeln parser Ausnahmen beim unmarshalling von JSON-Daten?

Bin ich mit dem Trikot in meiner Web-Anwendung. Die an den server gesendeten Daten im JSON format, welche wiederum unmarshallt am server-Ende und dem Objekt erhalten wird, ist in der Weiterverarbeitung. Das security-audit-hob einige Schwachstellen dieses Ansatzes.

Meine Ruhe-Code:

@POST
@Path("/registerManga")
@Produces(MediaType.APPLICATION_JSON)
public Response registerManga(MangaBean mBean){
    System.out.println(mBean);
    return Response.status(200).build();
}

MangaBean: 

public class MangaBean {
    public String title;
    public String author;

    @Override
    public String toString() {
        return "MangaBean [title=" + title + ", author=" + author + "]";
    }
    public String getTitle() {
        return title;
    }
    public void setTitle(String title) {
        this.title = title;
    }
    public String getAuthor() {
        return author;
    }
    public void setAuthor(String author) {
        this.author = author;
    }


}

Werden die Daten in diesem format:

["title":"Bleach","author":"kubo tite"]

Den oben genannten Daten erfolgreich unmarshallt in ein Objekt und dies bekomme ich als Ausgabe:

MangaBean [title=Bleach, author=kubo tite]

Aber wenn die Daten geändert:

["title":"<script>alert("123");</script>","author":"kubo tite"]

Einen 500 internal server error Auftritt, und dem Benutzer angezeigt wird:

javax.servlet.ServletException: org.codehaus.jackson.JsonParseException: Unexpected character ('1' (code 49)): was expecting comma to separate OBJECT entries
 at [Source: org.apache.catalina.connector.CoyoteInputStream@19bd1ca; line: 1, column: 28]
    com.sun.jersey.spi.container.servlet.WebComponent.service(WebComponent.java:420)
    com.sun.jersey.spi.container.servlet.ServletContainer.service(ServletContainer.java:537)
    com.sun.jersey.spi.container.servlet.ServletContainer.service(ServletContainer.java:699)
    javax.servlet.http.HttpServlet.service(HttpServlet.java:717)

Das unerwartete auftreten von "" verursacht Fehler im parser. Als unmarshalling erfolgt hinter den kulissen, und ich habe keine Kontrolle über Sie, ich bin nicht in der Lage zu handhaben, die Ausnahme, die ausgelöst wird.

Meine Frage ist, wie kann ich diese Ausnahme verarbeiten und eine angemessene Reaktion auf den Benutzer, anstatt einen stacktrace. Bitte um Rat.

InformationsquelleAutor Mono Jamoon | 2013-02-13
  1. 16

    Registrieren Sie einen exception-mapper zu handhaben, die JSON Parsen Ausnahmen:

    @Provider
class JSONParseExceptionMapper implements ExceptionMapper< JsonParseException > {
    @Override
    public Response toResponse(final JsonParseException jpe) {
        //Create and return an appropriate response here
        return Response.status(Status.BAD_REQUEST)
                .entity("Invalid data supplied for request").build();
    }
}
    • Ich weiß wirklich nicht verstehen, wie der @ - Provider syntax.. Kann ich mit dieser zu Griff das folgende Szenario: Unruly-API gibt [], wenn eine Karte leer ist, anstatt {}. Scheint, wie aus den oben genannten, könnte ich die Karte von dieser Ausnahme und damit umgehen ?
    • Ich kann nicht für das Leben von mir bekommen, diese arbeiten in Jersey 2.13. Ugh.
    • Wir sind mit CXF, aber das funktionierte trotzdem. Danke!
    • Ich denke, der fehlende Teil ist, dass Sie hier noch brauchen, um zu definieren, um die jaxb beforeUnmarshal(Unmarshaller u, Object parent) callback-Ereignis und einen listener registrieren, die nur rethrows die Ausnahme.
    • hatte, um die Klasse öffentlich mit wildfly 8.x, sonst beschwerte sich über eine fehlende Konstruktor
    InformationsquelleAutor Perception
  2. 2

    Wenn diese exception-mapper wird nicht genannt (wie John Ding Kommentar angegeben), stellen Sie sicher, Sie haben es registriert Ihre ResourceConfig.

    Auch, beachten Sie, dass bei Verwendung der JacksonFeature (mit Trikot 2.x) enthält es eine exception-mapper für diese, aber wenn Sie sich Ihrer eigenen it-Vorrang.

    Hier ist ein Beispiel der Registrierung von Paket. So setzen JSONParseExceptionMapper in "Ihr.Paket.hier", und es wird abgeholt.

    @ApplicationPath("whatever")
public class MyAppResourceConfig extends ResourceConfig
{
    public MyAppResourceConfig()
    {
        packages("your.package.here");
        register(JacksonFeature.class);
    }
}

    Für die ursprüngliche Frage, die Sie brauchen, um zu behandeln JsonMappingExceptionMapper als gut.

    InformationsquelleAutor max
  3. 1

    Zusätzlich zu @Wahrnehmung die Antwort, das fehlende Teil ist, dass die Ausnahmen bekommen verschluckt und nicht gemeldet. Sie passieren soll, ist eine Validierung Hörer:

    private static final String[] severity = new String[] {"Warning", "Error", "Fatal Error"};
void beforeUnmarshal(Unmarshaller u, Object parent) throws JAXBException {
    u.setEventHandler((evt) -> {
        throw new WebApplicationException(severity[evt.getSeverity()]+": Error while parsing request body: " + evt.getMessage(), evt.getLinkedException(), 400);
    });
}

    Legen Sie einfach diesen code in Ihre JAXB bean und Ihr alle set.

    InformationsquelleAutor Mordechai
  4. 0

    Hinzufügen voll Klasse Beispiel für die Wahrnehmung Antwort

    package com.shashi.service;

import javax.ws.rs.core.Response;
import javax.ws.rs.ext.ExceptionMapper;
import javax.ws.rs.ext.Provider;

import org.apache.log4j.Logger;

import org.codehaus.jackson.JsonParseException;
import com.sun.jersey.api.client.ClientResponse.Status;
import com.talklingo.service.v1.UserManagementService;
@Provider
public class JSONParseExceptionMapper implements ExceptionMapper< JsonParseException > {

 private static Logger logger = Logger
   .getLogger(JSONParseExceptionMapper.class);

   public Response toResponse(final JsonParseException jpe) {
         //Create and return an appropriate response here

         return Response.status(Status.BAD_REQUEST)
                 .entity("Invalid data supplied for request").build();

     }
}
    • Nicht genannt, was muss ich sonst noch tun?
    InformationsquelleAutor Shashi
  5. 0

    Die andere option könnte sein, die ResourceConfig, registrieren JsonParseExceptionMapper Klasse.

    register(JsonParseExceptionMapper.class);

    InformationsquelleAutor Dattatray
  6. 0

    Fügen Sie die Ausnahmebehandlung Klasse im gleichen Paket(oder sub-Paket) in der erwähnten web.xml Datei

    InformationsquelleAutor user
Schreibe einen Kommentar