fastjson:对于Exception中复杂类型(enum,...以及自定义类型)成员的处理

已于 2023-12-29 10:24:37 修改
阅读量5.3k 收藏 2
点赞数 1
分类专栏: json java 文章标签: fastjson exception enum 复杂类型 异常
于 2017-11-23 17:06:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/10km/article/details/78616847
版权
java 同时被 2 个专栏收录
229 篇文章 4 订阅
订阅专栏
json
23 篇文章 1 订阅
订阅专栏

如果一个Exception类中有枚举类型或其他复杂类型(比如java.util.Date,或自定义类型)的成员,fastjson反序列化会抛出异常。

	// ServiceSecurityException 类型中 type 成员是个枚举类型SecurityExceptionType
	ServiceSecurityException exp = new ServiceSecurityException("hello").setType(SecurityExceptionType.INVALID_PERSON_ID).setDeviceID(10);
	// 序列化可以正常输出
	System.out.println(JSON.toJSONString(exp));
	// 反序列化就会抛出异常
	JSON.parseObject(JSON.toJSONString(exp), ServiceSecurityException.class);

抛出的异常如下:

com.alibaba.fastjson.JSONException: set property error, type
at com.alibaba.fastjson.parser.deserializer.FieldDeserializer.setValue(FieldDeserializer.java:136)
at com.alibaba.fastjson.parser.deserializer.ThrowableDeserializer.deserialze(ThrowableDeserializer.java:132)
at com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:626)
at com.alibaba.fastjson.JSON.parseObject(JSON.java:348)
at com.alibaba.fastjson.JSON.parseObject(JSON.java:252)
at com.alibaba.fastjson.JSON.parseObject(JSON.java:471)
at net.gdface.facelog.CloneTest.test(CloneTest.java:56)

这应该是个bug,(我用版本的是1.2.38,就是支持java7的最后一个版本,再往后的版本都是java8编译的).跟踪了fastjson的源码,发现用于Exception的反序列化的ThrowableDeserializer代码中对于自定义成员反序列化的逻辑处理过于简单,只考虑了简单数据类型。
看了最新版本1.2.41对应代码,发现这个bug在1.2.41已经解决了,但1.2.41是java8编译的,因为我的项目编译对java版本的要求是java7,所以不能使用。所以这个问题,还得自己想办法解决。

我解决方法是绕开它,因为是在ThrowableDeserializer这里的代码出了问题,所以不能让fastjson以ThrowableDeserializer来实现 序列化和反序列化。

#步骤1–序列化过程
将异常类型中需要序列化的字段序列化成一个简单的json string,这样在反序列化时fastjson就不会把它当做一个异常类型交给ThrowableDeserializer来处理。

	public String toJsonString(ServiceSecurityException exp){
		HashMap<String,Object> fields = new HashMap<String,Object>();
		fields.put("type", exp.getType());
		fields.put("deviceID", exp.getDeviceID());
		return JSON.toJSONString(fields);
	}

#步骤2–反序列化
JSON.parseObject方法将上一步的json string 反序列化成一个JSONObject对象,
#步骤3–反序列化
TypeUtils.castToJavaBean将上一步的JSONObject对象转换为指定的异常类型

代码实现如下:

String jsonStr = toJsonString(exp);
JSONObject obj = JSON.parseObject(jsonStr);
ServiceSecurityException newExp = TypeUtils.castToJavaBean(obj, ServiceSecurityException.class);
10km
关注
专栏目录
java-sec-code Fastjson漏洞
weixin_44687621的博客
08-27 1458
最近ctf比赛使用java作为web开发语言的题目越来越多,Fastjson的漏洞是一个很重要的rce。学会审计Fastjson漏洞,更有机会挖出高质量的漏洞,所以还是得多学习学习的。 Fastjson简介 Fastjson是一个Java库,可以用来将Java对象转换成它们的JSON表示。它还可以用于将JSON字符串转换为等效的Java对象。Fastjson可以处理任意Java对象,包括您没有源代码的现有对象。 Fastjson相对其他JSON库的特点是快速且简洁,但是却被屡屡爆出漏洞。 Fastjson
异常com.alibaba.fastjson.JSONException: set property error
小子宝丁的博客
03-15 2761
记录 FastJson 异常处理方法。
SpringBootfastjson扩展: 自定义序列化和反序列化方法实战
码到三十五
07-20 1万+
fastjson允许用户自定义序列化器,用于控制特定类型的序列化过程。用户需要实现接口,并重写write方法。@Override// 自定义序列化逻辑在序列化过程,可以通过枚举值来指定使用自定义序列化器。fastjson允许用户自定义日期格式。可以通过枚举值和来指定日期格式。此外,用户还可以通过DateFormat属性来指定全局的日期格式。类似地,fastjson也支持自定义反序列化器。用户需要实现接口,并重写deserialze方法。
fastjson 自定义注解序列化对象
yangxiang_Younger的博客
05-24 1431
第二,实现fastjson自定义过滤器,实现PropertyPreFilter过滤器非OaProperty注解字段,NameFilter过滤器转化OaProperty注解oa字段名称。需求:通过HTTP方式对接三方系统的时候,本方业务系统传输字段或字段内部与第三方字段名不一值,需要过滤、转化等操作,希望通过注解的方式 + fastjson过滤器来简化实现业务需求。业务表单需要传oa审批,oa表单字段少于业务表单并且字段名不一样,如果通过注解方式实现,过滤与转换字段名称。
Java代码审计——fastjson 1.2.68 反序列化漏洞 Exception
王嘟嘟的博客
03-14 9465
0x00 前言 反序列化总纲 继1.2.58绕过autotype之后,1.2.68又出现了新的绕过方式,通过Exception来进行绕过,但是此方法要求比较苛刻 0x01 环境搭建 首先来说版本,经过测试发现使用Exception的方法最低生效版本为1.2.40。所以maven调整到1.2.40即可。 这里我们需要假设有一个继承了Exception的类。 public class test extends Exception { private String domain; public
使用fastjson报错Exception in thread “main“ com.alibaba.fastjson.JSONException: syntax error, pos 1, line
热门推荐
cucgyfjklx的博客
01-21 4万+
使用fastjson报错Exception in thread "main" com.alibaba.fastjson.JSONException: syntax error, pos 1, line 1, column 2
【daily】Java枚举 - fastjsonenum处理
weixin_30507269的博客
04-23 765
目的 1、枚举值转换成完全的json; 2、对象的枚举成员完全转换成json; 3、枚举类的全部值转换成json; 枚举定义 public enum SongsEnum { SAFE_AND_SOUND(1,"Taylor Swift","Safe&Sound","2011-12-26") ,SHAKE_IT_OFF(2,"Taylor Swift"...
fastjson list enum
wangooo的博客
06-22 368
List转Json List<User> users = new ArrayList(); String str = JSON.toJSONString(users); // List转json Json 转List 方法一 String json = ""; //获取的Json数据 List<User> users = JSON.parseObject(json, new TypeReference<List<User>>(){}); // Jso
java fastjson 枚举_java fastjson如何自定义转换含枚举类型对象(编程技巧)
weixin_33750664的博客
02-13 1229
在使用fastjson对Java对象进行序列化和反序列化时,如果含有枚举类型,默认会根据枚举变量的ordinal值进行反序列且序列化时显示枚举字面代表的字符串。经常这种行为不是我们想要的,那么如何进行定制化枚举类型的序列化和反序列? 举例如下问题引出假设待序列化和反序列化java对象结构如下public class Msg {private int id;private StatusCodeEnu...
com.alibaba.fastjson 序列化 反序列
weixin_41563161的博客
03-31 5289
fastjson 序列化反序列 目录 fastjson 序列化反序列 序列化 SerializeWriter成员变量 一 SerializeWriter成员函数 1 序列化整形数字 2 序列化长整形数字 3 序列化浮点类型数字 4 序列化...
Fastjson处理枚举
csdn_0xFFFF的博客
05-11 2021
Fastjson 这玩意儿不多说,Alibaba出品,出过几次严重的安全漏洞,但是依然很流行。这里写一下它怎么处理枚举。 <!-- https://mvnrepository.com/artifact/com.alibaba/fastjson --> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <
自定义枚举对象序列化规则: 在Json以枚举的code值表示枚举;枚举序列化时,新增枚举描述字段;String到IEnum的转换
iOS逆向与安全
07-09 249
GetterENABLE("1", "启用"),DEACTIVATE("0", "停用");@EnumValue// 自定义toString方法返回code@Override。
自定义javax.validation校验枚举类
Muscleape的博客
04-19 1934
自定义javax.validation校验枚举
fastjson——enum反序列化
windSnowLi
07-24 2817
官方示例代码:https://github.com/alibaba/fastjson/blob/d141fa171725f1e25e5449378f8a8d8ac323c4ae/src/test/java/com/alibaba/json/bvt/issue_1500/Issue1582.java
java fastjson序列化 enum
最新发布
weixin_41519398的博客
08-25 38
我整理的一些关于【Java】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/f2PFnN使用Java Fastjson序列化Enum类型的指导 在Java开发,我们时常需要将对象转换为JSON格式,以便进行数据传递和存储。Fastjson是一个高性能的Java JSON处理...
java:fastjson,jackson自定义反序列化器设计暨jackson反序列化时出现StackOverflowError异常的原因分析
10km的专栏
05-04 1942
方法实现字段解析,在字段解析过程自动识别snake-case的数据库字段名转为camel-case的JavaBean字段名(参见findProperty方法),并在最后调用setter方法赋值modified,initialized字段确保它们的值与原始输入值一致。字段的值是不确定的。取决于这两个字段被反序列化时的顺序,如果它们被在放在最后反序列化,那它们的值是正确的,否则它们的值与原始输入值肯定是不一致的。为基类,BeanDeserializer是Jackson默认的Java Bean反序列化实现。
fastjson支持在某些业务场景下,将Enum类型作为JavaBean序列化输出
先拙的博客
04-19 309
https://github.com/alibaba/fastjson/wiki/enum_custom_serialization
Fastjson
zj57356498318的博客
09-25 320
Fastjson 简介 Fastjson是阿里开源的JSON处理工具 Fastjson包括序列号和反序列化两部分,有以下优点 速度最快,测试表明,fastjson具有极快的性能,自称最开的jackson 功能强大,完全支持javabean、集合、Map、日期、Enum、支持范型、支持自省 无依赖,能够直接运行在Java 5以上版本 支持Android 开源 使用 maven引入 ...
【工作技术栈】FastJSON序列化Enum类型带上成员变量
qq_39760347的博客
06-05 543
fastjson序列化enum类型
未解析的依赖项: 'com.alibaba:fastjson:jar:1.2.83'
07-15
未解析的依赖项 'com.alibaba:fastjson:jar:1.2.83' 表示您的项目引用了 fastjson 版本号为 1.2.83 的 Alibaba 开源库,但是该依赖项无法解析或找不到。这可能是因为您的构建工具无法下载该依赖项所需的资源或该依赖项不存在于您所使用的存储库。 解决此问题的方法通常是检查以下几个方面: 1. 确保您的网络连接正常,可以访问所需资源。 2. 检查您的构建工具配置文件(如 Maven 的 pom.xml 或 Gradle 的 build.gradle)是否正确声明了存储库和依赖项。 3. 检查存储库是否包含所需的 fastjson 版本。您可以尝试更新存储库或更改 fastjson 的版本号。 4. 如果您正在使用一些自定义的存储库,确保您已正确配置这些存储库,并且它们能够提供所需的依赖项。 如果您需要更详细的帮助,请提供更多关于您的项目和构建工具配置的信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

10km

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值