FastJson反序列化后,子类类型转换问题及解决办法

最新推荐文章于 2024-04-13 14:37:44 发布
最新推荐文章于 2024-04-13 14:37:44 发布
阅读量4.6k 收藏 2
点赞数
分类专栏: 遇到的错误 文章标签: json java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/August_Z/article/details/107582449
版权

FastJson反序列化后,子类类型转换问题及解决办法

1. 问题描述

  • 使用FastJson序列化的时候,如果用于序列化的对象中将子类用父类类型保存进去,在反序列化的之后,将对象中该子类对象取出,如果强转为子类类型,就会抛出类型转换异常
  • 在使用String类型报文或者json字符串传输的系统中,该问题会比较常见

2. 问题重现

  • 问题代码
  1. 调用类
public class FastJsonIssue {
    public static void main(String[] args) {
        new FastJsonIssue().test();
    }

    public void test() {
        List<Fruit> fruits = new ArrayList<>();
        // 可以看到Apple类作为Fruit的子类,将其放入List<Fruit>中
        fruits.add(new Apple(10));
        // 将List<Fruit>放入BuyFruits类中
        BuyFruits buyFruits = new BuyFruits(new BigDecimal(10), fruits);
        // 将BuyFruits类对象序列化为json字符串的过程
        String json = JSON.toJSONString(buyFruits);
        // 模拟收到报文并将其反序列化为buyFruitsResult对象
        BuyFruits buyFruitsResult = JSON.parseObject(json, BuyFruits.class);
        // 从BuyFruits中取出List<Fruit>
        List<Fruit> fruits1 = buyFruitsResult.getFruits();
        // 将之前存入集合的Apple类对象取出,并强转成Apple类型,报类型转换错误
        Apple apple = (Apple) fruits1.get(0);
    }

}
  1. 相关类
/**
 * BuyFruits类,里面存有父类Fruit类的List
 * @author August_Z
 */
public class BuyFruits implements Serializable {
    private BigDecimal price;
    private List<Fruit> fruits;

    public BuyFruits(BigDecimal price, List<Fruit> fruits) {
        this.price = price;
        this.fruits = fruits;
    }

    public BigDecimal getPrice() {
        return price;
    }

    public void setPrice(BigDecimal price) {
        this.price = price;
    }

    public List<Fruit> getFruits() {
        return fruits;
    }

    public void setFruits(List<Fruit> fruits) {
        this.fruits = fruits;
    }

}

/**
 * 水果类,是各种具体水果类的父类
 * @author August_Z
 */
public class Fruit implements Serializable {
    private int amount;

    public Fruit(int amount) {
        this.amount = amount;
    }

    public int getAmount() {
        return amount;
    }

    public void setAmount(int amount) {
        this.amount = amount;
    }
}

/**
 * 苹果类,是水果类的子类
 * @author August_Z
 */
public class Apple extends Fruit implements Serializable {

    public Apple(int amount) {
        super(amount);
    }

}
  • 报错信息
  1. 报错信息为类型转换异常,显然子类信息在经过FastJson的序列化和反序列化之后,并没有得到保留
java.lang.ClassCastException: com.forms.lego.sysm.bfs.Fruit cannot be cast to com.forms.lego.sysm.bfs.Apple
  1. 进一步查看源码可以发现,反序列过程中,FastJson只能通过BuyFruits.class获取到相应Fruit类信息,并进行相应的反序列化,并不能获取到存入的子类信息,以至于反序列化之后的只有Fruit对象,强转之后抛出类型转换异常

3. 解决方案

  • 方案描述

    实际生产中可以将该对象通过IO流转化为byte[]再通过FastJson转换为json字符串,在使用时先将json字符串转换为byte[],再通过IO流转化为JavaBean对象, 可以发现子类信息依然保留,不会出现类型转换异常信息。

  • 代码实施
public class FastJsonIssue {
    public static void main(String[] args) {
        new FastJsonIssue().test();
    }

    public void test() {
        List<Fruit> fruits = new ArrayList<>();
        // 可以看到Apple类作为Fruit的子类,将其放入List<Fruit>中
        fruits.add(new Apple(10));
        // 将List<Fruit>放入BuyFruits类中
        BuyFruits buyFruits = new BuyFruits(new BigDecimal(10), fruits);
        // 通过工具类将BuyFruits类对象转换为byte[]
        byte[] bytes = ObjectAndByteUtils.toByteArray(buyFruits);
        // 用FastJson将byte[]序列化为json字符串
        String json = JSON.toJSONString(bytes);
        // 模拟收到报文并将其反序列化成byte[]
        byte[] bytesResult = JSON.parseObject(json,byte[].class);
        // 使用用具类将byte[]转换为Object再强转为BuyFruits类对象
        BuyFruits buyFruitsResult = (BuyFruits)ObjectAndByteUtils.toObject(bytesResult);
        // 从BuyFruits中取出List<Fruit>
        List<Fruit> fruits1 = buyFruitsResult.getFruits();
        // 可以看到通过io转换之后再使用FastJson序列化不会有异常抛出
        Apple apple = (Apple) fruits1.get(0);
    }
}

/**
 * Object和byte[]互相转换类
 *
 * @author August_Z
 * @date 2020/7/20 19:32
 */
public class ObjectAndByteUtils {
    /**
     * 对象转数组
     *
     * @param obj 传入对象
     * @return byte[]数组
     */
    public static byte[] toByteArray(Object obj) {
        byte[] bytes = null;
        ByteArrayOutputStream bos =null;
        ObjectOutputStream oos=null;
        try {
            bos = new ByteArrayOutputStream();
            oos = new ObjectOutputStream(bos);
            oos.writeObject(obj);
            oos.flush();
            bytes = bos.toByteArray();
        } catch (IOException ex) {
            ex.printStackTrace();
        }finally {
            try {
                if (oos != null) {
                    oos.close();
                }
                if (bos != null) {
                    bos.close();
                }
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
        return bytes;
    }

    /**
     * 数组转对象
     *
     * @param bytes byte数组
     * @return 响应对象
     */
    public static Object toObject(byte[] bytes) {
        Object obj = null;
        ByteArrayInputStream bis = null;
        ObjectInputStream ois = null;
        try {
            bis = new ByteArrayInputStream(bytes);
            ois = new ObjectInputStream(bis);
            obj = ois.readObject();
        } catch (IOException ex) {
            ex.printStackTrace();
        } catch (ClassNotFoundException ex) {
            ex.printStackTrace();
        } finally {
            try {
                if (ois != null) {
                    ois.close();
                }
                if (bis != null) {
                    bis.close();
                }
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
        return obj;
    }
}
August_Z
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastjsonfastjson字符串json转对象(父类子类
九师兄
07-04 4192
假设有一个json对象如下。
fastjsonjava 对象转化为 json 格式,需要参考此对象的父类
jjccblws01的博客
09-01 976
Fastjson 是一个 阿里开源的 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 今年在使用的时候,发现有几个属性被直接略过了。追了源码才发现,在转换的时候会参考其父类对象。 代码如下:s 是 {} ,而不是 {"code":1,"msg":"a"} 。 追源码到到一个接口: public interface ObjectSerializer { /** * fastjson invokes this c
JSON.parseObject()不能转换父类属性
lv842586821的博客
07-13 6365
https://juejin.im/post/5dfb76c8f265da33b313fa26 先介绍一下业务场景,现在有一个业务对象基类: public class JsonRequest{ private String msg; private String code; } 复制代码 现在有N多子类对其进行继承,并且自带一个业务对象 public class DetailJsonRequest extends JsonRequest{ private T body;
fastjson反序列化
最新发布
weixin_62688091的博客
04-13 158
fastjson和logj2差不多都是Java反序列化漏洞。Fastjson是阿里巴巴的开源。dataSourceName传参的:rmi://格式的字符串,支持将。
java父类子类_java父类子类的一个方法
weixin_32019329的博客
02-19 1501
一般子类可以转父类。但父类子类就会报cast error。使用jsonobject思想:先把父类jsonstring再把jsonstring转子类。剩余的子类值可以设定进去。import com.alibaba.fastjson.JSONObject;public class test {public static void main(String[] args) {B b = new B()...
json 反序列化子类型_fastjson反序列化时,怎么解析对象中的继承
weixin_42561476的博客
01-14 1525
例子:import com.alibaba.fastjson.JSON;public class Text {private A a;class A {private String a;public String getA() {return a;}public void setA(String a) {this.a = a;}}class B extends A {private String ...
fastJson 反序列化子类失败
qq_40396818的博客
05-10 557
1.在Java bean上添加注解 @JSONType(seeAlso={Dog.class, Cat.class}) @JSONType(seeAlso={Dog.class, Cat.class}) public static class Animal { } @JSONType(typeName = "dog") public static class Dog extends Animal { public String dogName; } @JSONType(typeName = "
Json字符串转换为Java对象和应用(使用fastjson工具类)
zhangbeizhen18的博客
07-16 9832
记录:468 场景:把Json字符串转换为Java对象。Java对象属性包括String、List、Map等类型。
Fastjson反序列化
Christ1na的博客
11-15 1万+
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson在1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
fastJson序列化与反序列化
qq_43663493的博客
10-05 2348
Java泛型是jdk1.5引入的一个新特性。泛型的本质是参数化类型,也就是说操作的数据类型被指定为一个参数。
Fastjson反序列化漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的反序列化漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
接下来,在Spring MVC的配置文件(如`springMVC.xml`)中,替换原来的`FastJsonHttpMessageConverter`实例为我们的自定义类`JsonHttpMessageConverter`,并设置支持的媒体类型及序列化特性: ```xml <!-- 替换...
解决fastjson从1.1.41升级到1.2.28后报错问题详解
10-15
为了解决这个问题,我们需要手动配置`FastJsonHttpMessageConverter`的`MediaType`,限制其只处理`application/json`类型的数据,从而避免Spring框架在检查`Content-Type`时抛出异常。遵循这些步骤,你应该能够成功...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
基于Java实现JSON反序列化器(编译原理)
06-21
在实际应用中,Java提供了许多库来处理JSON,例如Jackson、Gson、Fastjson等,它们已经实现了高效且功能丰富的反序列化器。然而,通过理解编译原理并亲手实现一个简单的JSON反序列化器,我们可以更深入地理解JSON的...
高性能JSON框架之FastJson的简单使用
zz775854904的博客
07-18 1246
1.前言 1.1.FastJson的介绍: JSON协议使用方便,越来越流行,JSON的处理器有很多,这里我介绍一下FastJson,FastJson是阿里的开源框架,被不少企业使用,是一个极其优秀的Json框架,Github地址: FastJson 1.2.FastJson的特点: 1.FastJson数度快,无论序列化和反序列化,都是当之无愧的fast  2.功能强大(支持普通JDK类...
FastJson实现复杂对象序列化与反序列化
热门推荐
xqhadoop的博客
03-15 2万+
一.认识FastJson fastjson是目前java语言中最快的json库,比自称最快的jackson速度要快,第三方独立测试结果说明比gson快大约6倍 JSON帮助类 这个可以做一个实例研究代码,也可以作为一个工具类 去调用。 FastJson是一个Json处理工具包,包括“序列化”和“反序列化”两部分,Fastjson是一个Java语言编写的高性能功能完善的JSON库。 F
fastjson和gson反序列化时的嵌套集合和抽象类处理
zhanlanmg的专栏
09-30 1万+
gson参考:http://www.letiantian.me/2014-05-22-java-gson-json/ fastjson参考:https://github.com/alibaba/fastjson/wiki/ObjectDeserializer_cn带泛型的集合类型当使用toJson(obj)时,Gson调用obj.getClass()获取字段信息以在序列化中使用。类似的,也可以将对
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
Fastjson是一款Java语言编写的高性能JSON处理器,被广泛应用于各种Java应用程序中。然而,Fastjson存在反序列化漏洞,黑客可以利用该漏洞实现远程代码执行,因此该漏洞被广泛利用。 检测Fastjson反序列化漏洞的方法: 1. 扫描源代码,搜索是否存在Fastjson相关的反序列化代码,如果存在,则需要仔细检查反序列化的过程是否安全。 2. 使用工具进行扫描:目前市面上有很多漏洞扫描工具已经支持Fastjson反序列化漏洞的检测,例如:AWVS、Nessus、Burp Suite等。 利用Fastjson反序列化漏洞的方法: 1. 利用Fastjson反序列化漏洞执行远程命令:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现远程命令执行。 2. 利用Fastjson反序列化漏洞实现文件读取:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现文件读取操作。 3. 利用Fastjson反序列化漏洞实现反弹Shell:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现反弹Shell操作。 防范Fastjson反序列化漏洞的方法: 1. 更新Fastjson版本:Fastjson官方在1.2.46版本中修复了反序列化漏洞,建议使用该版本或更高版本。 2. 禁止使用Fastjson反序列化:如果应用程序中不需要使用Fastjson反序列化功能,建议禁止使用该功能,可以使用其他JSON处理器。 3. 输入验证:对所有输入进行校验和过滤,确保输入数据符合预期,避免恶意数据进入系统。 4. 序列化过滤:对敏感数据进行序列化过滤,确保敏感数据不会被序列化。 5. 安全加固:对系统进行安全加固,如限制系统权限、加强访问控制等,避免黑客利用Fastjson反序列化漏洞获取系统权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值