深入探索fastjson

最新推荐文章于 2022-10-07 20:41:38 发布
最新推荐文章于 2022-10-07 20:41:38 发布
阅读量151 收藏
点赞数
文章标签: json java 开发语言

为什么想写这篇文章,主要是觉得之前虽然我是学习了fastjson,但更多的是拿着一个payload去复现分析调用栈,虽然我也觉得没问题,但是很多细节的部分都被忽略了,再加上这几天躺在家,就想着不如写一篇最适合的文章,一方面检验自己,另一方面也是希望自己能加深对代码的理解,当然这里的内容很多东西只从安全的角度出发,一些无关的也不想多说

简介

Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两个主要接口JSON.toJSONString和JSON.parseObject/JSON.parse来分别实现序列化和反序列化操作。

使用Fastjson进行序列化和反序列化初体验

初步体验可以帮助我们更快提升对fastjson的理解,首先可以简简单单来个学生对象

public class Student {
    private String name;
    private boolean alive;

    public Student() {
        System.out.println("Student构造函数1");

    }

    public Student(String name, boolean alive) {
        System.out.println("Student构造函数2");
        this.name = name;
        this.alive = alive;
    }

    public boolean isAlive(){
        System.out.println("boolean");
        return true;
    }

    public String getName() {
        System.out.println("get方法");
        return name;
    }

    public void setName(String name) {
        System.out.println("set方法");
        this.name = name;
    }
    


}

首先来序列化对象(SerializerFeature.WriteClassName,是一个设置属性值,设置之后在序列化的时候会多写入一个@type,即写上被序列化的类名,type可以指定反序列化的类,并且调用其getter/setter/is方法)

public static void main(String[] args) {
  Student y4tacker = new Student("Y4tacker", true);
  System.out.println(JSON.toJSONString(y4tacker,SerializerFeature.WriteClassName));
}

之后分别调用

String json = "{\"@type\":\"BasicKnow.fastJsonLearning.Student\",\"alive\":true,\"name\":\"Y4tacker\"}";
JSON.parse(json);
//JSON.parseObject(json);

可以发现JSON.parse只会调用构造函数与set方法

JSON.parseObject调用构造函数、set、get与is方法,这里

附录

这些东西并不全面,更多是自己在调试代码的时候觉得有意思的,或者觉得对waf绕过有帮助才会列入,这里面会加上一些自己的备注

Feature

不会列所有的Feature,只会列默认的

AllowArbitraryCommas

AllowArbitraryCommas – 允许多重逗号,如果设为true,则遇到多个逗号会直接跳过,感觉有点用处,如果在没升级的前提下简简单单靠waf说不定这个特性可以绕过waf规则,比如下面这个,当然这个逗号也不是随便乱加的,不能破坏原有的一些解析逻辑

String json = "{,,,,,,'@type':\"BasicKnow.fastJsonLearning.Student\",,,,,,,\"age\":233,,,,,,,,,\"name\":\"Y4tacker\"}";
Java面试那些事儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JSON构造及如何获取
Shaniya
05-05 3323
JSON格式:{newProcessId:'',newActDefUniqueId:''}//key可以不加引号,value必须有 构造方法:    JSONObject obj = new JSONObject();    obj.put( "name" , "feiniu5566");    obj.put( "age" ,23);    out.print(obj.toString
Fastjson默认构造函数使用注意
04stone37
11-04 5134
注意点1: 低版本中,如果JavaBean中没有默认构造函数(显式或默认),运行时将直接抛出 “default constructor not found” 的异常信息,如下: 测试时使用版本信息: <dependency> <groupId>com.alibaba</groupId> <artifactId&g
JSON.parseObject将字符串转为bean对象
xiaosongwahaha的博客
12-19 1万+
JSON.parseObject,是将Json字符串转化为相应的对象;JSON.toJSONString则是将对象转化为Json字符串。 String sb= {"message":"success","store":false,"redirect":"","term":[{"index":0,"term":"华为"},{"index":1,"term":"手机"}],"centr
JSONJsonJava对象的互相转化
人类所有真实的快乐,一定是恒久的努力
09-13 835
JsonJava对象的互相转化
fastjsonjson串转成对象时没有空构造报错
u010194271的博客
06-03 1501
fastjsonjson串转成对象时没有空构造报错 Fastjson https://github.com/alibaba/fastjson implementation 'com.alibaba:fastjson:1.2.70' 解决方式 City.class 在有构造函数的时候,加入空的构造函数 List listCity =JSONObject.parseArray("key", City.class); Gson https://gith.
JavaJSON处理器fastjson使用方法详解
10-21
Java开发中,JSONJavaScript Object Notation)是一种轻量级的数据交换格式,常用于前后端数据传输。Fastjson是阿里巴巴开发的一个高性能的...在实际项目中,根据具体需求,可以深入探索Fastjson提供的更多功能。
fastjson.jar
02-02
深入解析Fastjson.jar:Java高性能JSON库的全方位探索》 在Java开发中,数据交换格式的使用至关重要,其中JSON由于其简洁、易读、易处理的特性,已经成为最广泛使用的格式之一。Fastjson,作为阿里巴巴开源的一款...
测试fastjson与protobuf
04-20
标题中的“测试fastjson与protobuf”表明我们将探讨两个在IT领域广泛应用的数据序列化技术:Fastjson和Protocol Buffers...在深入学习和实践中,我们可以不断探索这两者的边界,以适应不同的业务需求和性能挑战。
fastjson 1.2.75_helloworld_
10-04
通过“HelloWorld”示例,我们可以快速上手,并进一步探索Fastjson的高级特性和用法,提升我们的JSON处理能力。在实际项目中,Fastjson可以有效地帮助我们处理数据交换和序列化问题,提高开发效率。
Java读取json文件,并转化为map取值
05-12
本教程将深入讲解如何使用Java读取JSON文件,并将其内容转化为Map以便进行取值操作。 首先,我们需要引入处理JSON的库。Java标准库并不直接支持JSON操作,所以我们通常使用第三方库,如`org.json`或`...
Fastjson与Gson的简单使用
qq_45464560的博客
10-07 974
Json解析工具
FastJson的基本使用
810364804
07-09 502
开发Android的过程中,如果我们经常与服务器打交道,更新数据等等,那么json必然是个好的数据格式,但是有了json我们要解析它,使用原生的解析也可以,但是很不高效,所以这里介绍两种json数据解析的方式,一种是FastJSon ,这个是阿里巴巴出的,号称最快的解析速度。第二种使我们伟大的Google提供的Gson 来解析json,两个解析json都很方便,而且都很强大,在我使用中,基本上都...
JSON.parseObject的用法
热门推荐
qq_45443879的博客
04-07 2万+
fastJson对于json格式字符串的解析主要用到了一下三个类: JSONfastJson的解析器,用于JSON格式字符串与JSON对象及javaBean之间的转换。 JSONObjectfastJson提供的json对象。 JSONArray:fastJson提供json数组对象。 我们可以把JSONObject当成一个Map<String,Object>来看,只是JSONObject提供了更为丰富便捷的方法,方便我们对于对象属性的操作。我们看一下源码。 同样我们可以把JS
JSONObject的底层原理&&常见方法的使用以及项目中的使用场景
小爽帅到拖网速的博客
08-09 2069
JSONObject中是可以无限套娃的,只是每嵌套一次,就需要给除最外面的JSONObject以外的其他JSONObject中添加唯一的key,如果key重复了,按照Map的处理方式去解决,一般都是判断如果key的hashCode相同,并且equals返回true,则新值替换旧值,并且返回旧值,所以这里涉及到了数据覆盖的问题,需谨慎处理key是否相同的情况。最常见的就是使用getString,这也是我们在工作中经常使用的方式,可以发现最终都是通过map来完成一些列操作。...
使用fastjsonJSON.parseObjectjava对象时有的属性没值
qq_30908729的博客
09-15 2万+
例如: Stringval="{\"id\":\"3d8804948e0a\",\"sysUser\":{\"email\":\"admin@qq.com\"},\"userResRegs\":[\"/[A-Za-z0-9-~\\\\\\\\/-_-\\\\\\\\.-\\\\\\\\$]+\"]}"; AuthSessionsession=JS
了解JSON.parseObject(String str)/JSONObject.parseObject()和JSON.toJSONString()的功能
weixin_43231398的博客
01-02 8516
今天用到了JSON对象和JSON 字符串之间的相互转换,借此记录一下心得。 基础语法: JSON字符串转化成JSON对象 JSONObject jsonobject = JSON.parseObject(str); 或者 JSONObject jsonobject = JSONObject.parseObject(str); 功能上是一样的,都是将JSON字符串(str)转换成JSON对象 j...
使用fastjsonparseObject方法将json字符串转换成Map 或者List
大鹏小站的博客
08-11 1万+
HashMapString,String> map = JSON.parseObject(jsonStr, new TypeReferenceString,String>>() {});
fastjson fastjson2
最新发布
09-02
FastjsonFastjson2都是JSON库,用于处理JSON格式的数据。 Fastjson2是Fastjson项目的重要升级,旨在为未来十年提供高性能的JSON库。相比于原来的FastjsonFastjson2在性能上有了很大的提升,并且更加安全。它完全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值