xStream xml反序列化时 强转对象相关问题

最新推荐文章于 2024-08-08 18:50:50 发布
最新推荐文章于 2024-08-08 18:50:50 发布
阅读量2.1k 收藏
点赞数
分类专栏: PersonalNotes 文章标签: xStream
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boneix/article/details/50505075
版权

前几天心血来潮尝试着把公司的ssm框架拷出来,然后把json处理的jar包替换成fastJson,再来个注解自动反序列化,再在request和response上套个base64加密(公司是这么做的,改起来是一把辛酸一把泪,特别是重写getParameterMap()这个类,字符串数组好烦发火),这样看起来高大上。。具体可以参照

http://blog.163.com/liangge_sky/blog/static/210500188201422701631432

然而这不是重点。。。。。。。。

最近几天想着既然json都可以搞注解自动反序列化,为啥xml不也搞一个呢,然后搜了一堆jar包一堆资料,最后选了xStream,实际操作的时候和@json差不多,关键卡在两个地方,1.getParameterMap();2.xStream.fromXML()强转对象。

第一个问题在于原本我是base64加密的。。然后在filter里解密后不知道怎么放了。。后来想了一晚上。。。xml好多都是系统间交互的比如 微信公共号接口。。。。谁闲得无聊加密啊(我没有遇到这需求。也觉着暂时用不到这功能,再说xml本来就是String 再加个密,好长。。。),果断把请求路径添加到base64filter忽略列表里。。

然后,关于第二个问题第二天上班的时候脑子里也想着这个,搜了一堆资料就是没有像fastJson那种JSON.parseObject(jsonStr, Person.class)分分钟解决战斗,直接给返回个对象的,强转的话知道类似Person.class的也没法用啊(后面有空在研究如何强转),然后的然后陡然想起来以前看公司源码里工具类JsonUtils(用Jackson实现的)有个toBean方法实现如下方法

public static <T> T toBean(Object obj, Class<T> cls) {
if (null == obj) {
return null;
}
try {
return JsonFormatter.toObject(JsonUtil.toString(obj), cls);
} catch (Exception e) {
            LOG.error("JsonFormatter.toObject error: ", e);
}
return null;
}

就是说我先把object转化成json串,然后在反序列化得意

依照这思想我写了个测试方法引用fastjson的jar

 @Test
    public void testXmlToBean(){
        String message="<person><name>张三</name><age>25</age><birthDay>1992-10-19 00:00:00.0 CST</birthDay></person>";
        XStream xStream=new XStream();
        //注解声明节点
        xStream.processAnnotations(Person.class);
        //xStream转对象
        Object obj=xStream.fromXML(message);
        System.out.println("message:"+JSON.toJSONString(obj));
        //fastJson中转
        String jsonStr=JSON.toJSONString(obj);
        System.out.println("message:"+jsonStr);
        //fastJson生成对象
        Person person=JSON.parseObject(jsonStr, Person.class);
        System.out.println("message:"+JSON.toJSONString(person));
    }

果然成功了。。。先在这边写个随笔,回家把代码改改生气

<----------------------------------------------------------------------------------------------------------------------------------------->

回家试了试发现不需要这么麻烦。。

Person person=(Person)xStream.fromXML(message);

就可以了。fastJson中转适合多系统交互时转对象。。其他情况下不如强转方便




boneix
关注
专栏目录
XStream反序列化
Finlinlts的博客
10-01 1720
概述 XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化对象XStream在运行使用Java反射机制对要进行序列化的对象树的结构进行探索,并不需要对对象作出修改。XStream可以序列化内部字段,包括私private和final字段,并且支持非公开类以及内部类。在缺省情况下,XStream不需要配置映射关系,对象和字段将映射为同名XML元素。但是当对象和字段名与XML中的元素名不同XStream支持指定别名。XStream支持以方法调用的方式,或是Java标注的方式指定
【WEB安全】Xstream最新反序列化poc执行报错问题
hhhhhggghbhh的博客
12-13 615
最近有个需求,用Xstream反序列化打个内存马,从通用性来讲,肯定用1.4.17的洞去打应用范围最广。众所周知,Xstream官方会提供其漏洞的poc。在我实验之下,1.4.17的几个poc只要涉及到任意java代码执行的都会报错,纯调用java.lang.Runtime.exec()的却不会报错。在我调试之下发现了其奥秘,本文就是解决Xstream任意java代码执行报错的问题
xstream反序列化
weixin_48776804的博客
06-06 860
xstream反序列化
Xstream反序列化漏洞
最新发布
qq_50296568的博客
08-08 709
Xstream库中部分类本身会做反射的 invoke()、序列化的 resovleClass()、readObject()等等,同这些类的这些操作有被攻击者恶意利用的危险。例如CVE-2020-26217中我们可以通过构造一个包含恶意XML的类。XStream是一个Java库,用于将Java对象序列化为XML格式,也可以将XML格式的数据反序列化为Java对象。它是一个流行的开源库,常用于在分布式系统中传输和存储数据。
Xstream解析xml文件与对象之间的转换
qq_36276592的博客
09-05 1184
1.前言 在之前做的项目中有需求需要解析xml文件,发现XStream非常好用,使用也简单,在此做个记录 2.依赖 <dependency> <groupId>com.thoughtworks.xstream</groupId> <artifactId>xstream</artifactId> <version>1.4.10</version>
Xstream反序列化分析(CVE-2021-39149)
zkaqlaoniao的博客
01-04 653
前几个月XStream爆出一堆漏洞,这两天翻了翻,发现这波洞应该是黑名单绕过的最后一波了。因为在最新版的XStream 1.4.18中已经默认开启白名单的安全框架,按照XStream官方补漏洞的习惯,应该不会再接受新的绕过黑名单的漏洞了。
java xstream xml对象_Java使用XStream实现XML对象之间互转
weixin_39843677的博客
02-16 492
Java实现XML对象之间互转的方法有很多,本文主要介绍Java使用XStream来实现XML对象的互相转换。一、将对象转成XML只需要XStream包,而将XML转换成对象,还需要xpp3包,相关Maven依赖如下:com.thoughtworks.xstreamxstream1.3.1xpp3xpp31.1.4c二、Java使用XStream实现XML对象之间互转的代码如下:/***@...
Bboss和xstream序列化反序列化性能对比1
08-08
在本文中,我们将深入探讨Bboss和Xstream两个序列化和反序列化库在性能方面的差异。这两个库在Java开发中广泛用于将对象转换为XML格式,以便于存储、传输或持久化。以下是对这两个库的详细分析。 首先,Bboss和...
使用XStream序列化/反序列化对象
11-01
由于XStream使用Java类型信息来构建XML,因此在反序列化,它可以确保对象的类型正确无误。此外,XStream还提供了自定义转换器的功能,以便处理自定义的序列化逻辑。 总结起来,XStream是一个强大的工具,用于在...
xstream序列化反序列化的使用,包括list嵌套
booleangjh的博客
03-02 1369
在maven工程中引入依赖 <dependency> <groupId>com.thoughtworks.xstream</groupId> <artifactId>xstream</artifactId> <version>1.4.10</version> </dependency> 编写
对象类型转换为xml用到XStream.jar报错
Wikey的技术成长之路
01-06 788
对象类型转换为xml数据用到这样一个jar包:xstream-1.4.8.jar,但是运行后出现这个问题:Exception in thread "main" java.lang.NoClassDefFoundError
XStream解析xml 转换成对象案例
04-05
NULL 博文链接:https://yangliuwillow.iteye.com/blog/1528435
Xstream_java对象xml的互相转换
10-20
Xstream_java对象xml的互相转换
XStream - xml对象的转换
空明的博客
04-12 1067
使用XStream进行xml报文和实体的转换
java xstream xml对象_使用xStream实现xml与java对象之间的转换
weixin_34708196的博客
02-13 177
elchat中读取xml转java对象以及持久化java对象xml文件代码如下:static MessageDatabase load(String persistFile) {MessageDatabase messageDatabase = null;Reader reader = null;try {reader = new FileReader(persistFile);XStream...
xstream xml对象_这本XStream学习手册,真的不来看看?
weixin_39827728的博客
12-02 262
一、前言1、XStream官网http://x-stream.github.io2、XStream是什么XStream是一个简单的基于Java的类库,用来将Java对象序列化成XML(JSON)或反序列化对象(即:可以轻易的将Java对象XML文档相互转换)3、XSteam能干什么XStream在运行使用Java反射机制对要进行序列化的对象树的结构进行探索,并不需要对对象作出修改。XStre...
java使用xstream实现xml文件和对象之间的相互转换
nhx900317的博客
08-01 3824
至此,xml对象的互相转换工作就完成了,还是比较简单的,有兴趣的可以看一下xstream的官网,在本文开头就贴出来官网地址了,上面有一些其他用法的介绍。注旧版本的xstream有安全漏洞,建议使用最新版本。...
【常用功能】使用xstream完成xml对象互转
绊脚石
01-06 3943
xml格式转为object对象,分三种情况: 1、常规标签格式转化 2、标签属性格式转化 3、两种方式相结合的xml格式转化 备注:需要用到的jar包 xstream,xpp3 一、常规标签格式转化 主要使用xstream中 @XStreamAlias 标签,将xml标签和实体类属性进行一一对应后,使用util类转化方法进行转化即可。 xml格式如下: <User> <use...
java xstream xml对象_xstream xml转化成java对象
weixin_32578799的博客
02-13 481
展开全部注意事项:创建接收转62616964757a686964616fe78988e69d8331333339653762换的实体类 里面字段 与 xml节点一一对应。spring 使用@XStreamAlias("节点") 进行关联。属性名与节点一一对应是很重要的!!!不然 不能正常转换。使用了注解以后,xml节点跟类的属性名不再有关系,但是 注解里面使用的名字就默认是与xml节点对应的。所...
使用XStream轻松序列化Java对象XML
本资源主要介绍了如何使用XStream库将Java对象序列化为XML,以及如何设置和使用XStream进行对象的序列化和逆序列化。XStream是一个轻量级且易于使用的开源Java库,可以将Java对象直接转换为XML格式,同也能将XML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值