FastJSON序列化特殊字符BUG

最新推荐文章于 2024-05-16 10:33:26 发布
最新推荐文章于 2024-05-16 10:33:26 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: java 文章标签: eclipse exception
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LCF_lxf_ldy/article/details/78762400
版权
本文讨论了在使用FastJSON进行序列化时遇到的一个特殊问题,即当实体类配置了一对多和多对一时,由于反复序列化,可能会引发内存溢出。为了解决这个问题,建议在多的一方实体类上添加@JSONField(serialize = false),通过禁止该字段的序列化来避免内存溢出。
摘要由CSDN通过智能技术生成

得意 

java.lang.StackOverflowError
	sun.misc.FloatingDecimal.dtoa(FloatingDecimal.java:541)
	sun.misc.FloatingDecimal.<init>(FloatingDecimal.java:468)
	java.lang.Double.toString(Double.java:196)
	com.alibaba.fastjson.serializer.DoubleSerializer.write(DoubleSerializer.java:64)
	com.alibaba.fastjson.serializer.JSONSerializer.writeWithFieldName(JSONSerializer.java:398)
	Serializer_5.write1(Unknown Source)
	Serializer_5.write(Unknown Source)
	com.alibaba.fastjson.serializer.JSONSerializer.writeWithFieldName(JSONSerializer.java:398)
	Serializer_4.write1(Unknown Source)
	Serializer_4.write(Unknown Source)
	com.alibaba.fastjson.serializer.JSONSerializer.writeWithFieldName(JSONSerializer.java:398)
	Serializer_5.write1(Unknown Source)
	Serializer_5.write(Unknown Source)
	com.alibaba.fastjson.serializer.JSONSerializer.writeWithFieldName(JSONSerializer.java:398)
	Ser
最低0.47元/天 解锁文章
每天加点分
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于fastjson序列化不可见特殊字符存在的bug
一只蜗牛的博客
01-15 4776
相关博文链接:http://i.dotidea.cn/2014/08/fastjson-serialize-overflow/ 链接摘自某位大神,自己做个备忘 fastjson 1.1.39版本以下(包括1.1.39)在序列化json数据时,如果被序列化的对象中存在某个属性(属性值含有不可见的特殊字符), 会转换失败,报java.lang.ArrayIndexOutOfBoundsExcep
(3)fastjson带有转义字符的数据格式处理
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
03-12 1万+
问题描述: 白天,前端同事跑过来说,你的接口返给前端的是一堆带斜杠转义字符的数据,数据格式未处理哦?然后,仔细一看果然,晃眼。。 具体数据内容不再描述,大致格式如下: "[{\"birthday\":\"2000\",\"major\":[\"挖掘机\",\"炒菜\"],\"name\":\"xiaoming\",\"comment\":\"hello world\",\"age\":25...
使用FastJson处理JSON数据进阶
最新发布
2401_84153285的博客
05-16 382
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
属性值有特殊符号导致fastjson序列化失败处理
积跬步,至千里
09-30 2027
做Java项目有一段时间了,感觉跟.net差别不是太大,遇到个小问题记录一下 1,遇到的问题是,反序列化时候对象属性值带有 &或者 ‘(单引号)都会导致反序列化失败. 2,解决办法是采用了。这个属性对应的值进行转码处理,试过(uft8,asc)等都不行,后面采用了转Ascii码后处理成功 方法如下,注意空值处理 /** * 字符串转换为Ascii * @param value * @return */ public static String stringToAscii(St...
fastjson转化入参字符串的特殊字段名$ref问题
GuessBUG的博客
10-25 1457
一、问题描述 { "schema": { "originalRef": "Result«object»", "$ref": "#/definitions/Result«object»" } } 入参字符串是json格式,可直接转为JSONObject,由于某个字段是$ref,导致调用fastjson的JSON.parseObject(String text)方法出现问题。 1、问题一:$ref在第一个字段,转化api报错: com.alibaba.fastj
fastJson解析URL中&特殊字符报错
借你一秒
04-09 8250
1.楔子 在做消息推送的时候,突然报出一个fastJosn解析json错误的报错,找了好久都终于发现是因为URL中含有特殊字符需要转义的字符&,导致JSON解析报错。 2.报错信息 网上搜索这个错误,大部分观点是JSON中含有特殊字符。还有人说是fastjson版本,字符串编码等问题,最后被逐一排除,定位到是含有特殊字符& json文件中含有如下的URL: 3.解决方式 定位到...
fastjson-1.2.70.jar.zip
03-21
Fastjson-1.2.70.jar是其在1.2.70版本的发行包,此版本包含了对JSON序列化和反序列化的优化以及一些性能改进。本文将详细介绍Fastjson的基本功能、核心特性以及如何在实际项目中应用。 一、Fastjson概述 Fastjson...
fastjson-1.2.46.zip
04-20
1. 自定义转换规则:通过`@JSONField`注解可以自定义字段的序列化和反序列化行为,如指定字段名称、格式化日期等。 2. JSONPath支持:Fastjson支持JSONPath表达式,可以方便地从复杂的JSON结构中提取数据。 3. ...
fastjson-1.2.70.rar
06-19
1. **性能优化**:新版本对内部算法进行了优化,提升了解析和序列化速度,特别是在处理大规模数据时,性能提升尤为明显。 2. **API增强**:1.2.70版本可能引入了新的API接口,提供更丰富的功能选项,如更灵活的配置...
fastjson最新版本库1.2.47
12-25
Fastjson 是阿里巴巴开源的一款高性能的 Java 语言编写的 JSON 库,它具有解析速度快、占用内存少的特点,广泛应用于数据交换和序列化场景。在1.2.47这个版本中,Fastjson 继续优化了性能,提升了稳定性,为开发者...
fastjson.jar包
09-12
- **序列化**: Fastjson可以将Java对象转换为JSON字符串,例如`JSON.toJSONString(obj)`,其中`obj`是Java对象。 - **反序列化**: 相反地,它也能将JSON字符串解析为Java对象,如`JSON.parseObject(jsonStr, ...
com.alibaba.fastjson.JSON
weixin_57397512的博客
01-16 1845
定义 json是一种轻量级的数据交换格式,分为json数组和json对象。json数组和json对象可以互相嵌套 JSON数组特点 使用中括号包裹 元素之间使用逗号分隔 元素的数据类型没有限制 获取元素的方式:通过索引可以访问json数组中的元素(索引从0开始) 示例:json = [“aaa”, 1, true] JSON对象特点 使用大括号包裹 元素必须是键值对(键必须是字符串类型,值的类型没有限制) 键值对之间使用逗号分隔 获取值的方式:通过 .键名获取 示例:json = {“a”
com.alibaba.fastjson.JSONException: unclosed string
MY博客
07-08 1万+
阿里的fastjson中的对特殊字符的解析异常,升级版本解决。
FastJson小技巧——@JSONField
weixin_43861630的博客
03-08 3981
比如fastjson默认是不会将为null的属性输出的,若是我们也想输出,可以加入@JSONField(serialzeFeatures = SerializerFeature.WriteMapNullValue)。常见:使用fastjson进行需要对字段进行一些特殊处理,比如时间格式,前后端名字不一致,字段为null是否依然序列化等问题。简单而言,就是属性为对象的时候,属性对象里面的属性直接输出当做父对象的属性输出。WriteMapNullValue 是否输出值为null的字段,默认为false。
fastjson2序列化报错OutOfMemoryError
懒 虫的博客
08-03 2441
(考虑到升级版本和现有代码的兼容性,没有用最新的),在序列化时增加一个features(features可以传多个的,根据自己需要传):JSONWriter.Feature.LargeObject。,该版限制了最大可以序列化大小是64M,超过了就报错OutOfMemoryError。报错log如下,这里用的是阿里的com.alibaba.fastjson2。这样最大序列化对象即可以支持1G了。要想解决,只能升级jar的版本,参考。
spring 3+ fastjson bug 记录
iteye_17060的博客
05-08 243
场景描述:  使用fastjson的JSON.toJSONString(Domain)的时候,如果Domain中有字段是通过spring proxy出来的,在spring3以上版本会报错,spring3以下不受影响:代理代码如下:   ProxyFactory proxy = new ProxyFactory(Manager); proxy.addAdvi...
Alibaba FastJson支持对象中私有属性的json解析
魔力鸟的专栏
10-15 1万+
项目中需要使用fastjson做数据处理,而且部分对象中的属性很多都是非public的,且没有getter/setter方法,找了很久没有找到fastjson对这个问题的解决。 所以自己动手,基于fastjson的源代码构造了单独的javabean的序列化器。 使用方式:直接使用封装好的MetaJsonUtil的工具方法即可。 fastjson版本为1.2.7 MetaJs
fastjson转义符解决方案
热门推荐
qq_31445987的博客
01-10 2万+
当我们在使用fastjson进行数据返回时,会将string中的json格式自带转义符进行输出,如下图: 然而,我们希望的是能够对这一json格式的字符串进行正常的json格式的输出,这个时候我们需要编写一个序列化类: /** * 序列化时将string转为json格式 */ public class StringToJsonSerializer implements ObjectSeria...
fastjson序列化漏洞
07-25
Fastjson是一款流行的Java JSON库,用于序列化和反序列化Java对象和JSON数据。在Fastjson 1.2.24及之前的版本中存在一个安全漏洞,被称为Fastjson序列化漏洞(Fastjson Deserialization Vulnerability)或Fastjson序列化漏洞。 该漏洞的主要原因是Fastjson在反序列化过程中存在一些不安全的默认行为,可能导致恶意攻击者利用特制的JSON数据触发远程代码执行。攻击者可以构造恶意JSON数据,利用漏洞触发任意代码执行、命令执行、远程命令执行等攻击。 Fastjson团队在发现漏洞后迅速发布了修复版本,并建议所有使用Fastjson的开发者升级到最新版本以解决安全问题。此外,开发者还可以采取以下措施来防止Fastjson序列化漏洞的利用: 1. 及时升级:确保使用的Fastjson版本是修复了该漏洞的最新版本。 2. 输入验证:在接收JSON数据并进行反序列化之前,对输入进行严格验证和过滤,确保只接受可信任的数据。 3. 白名单机制:限制反序列化过程中可以实例化的类和调用的方法,使用白名单机制来控制允许的操作。 4. 安全配置:通过配置Fastjson的ParserConfig,禁用自动类型识别(autoTypeSupport)或限制白名单(setAccept)等来增强安全性。 总结而言,Fastjson序列化漏洞是由于Fastjson在反序列化过程中的不安全默认行为导致的安全问题。及时升级Fastjson版本、输入验证、白名单机制和安全配置等措施可以帮助防止该漏洞的利用。 请注意,本回答仅涉及Fastjson序列化漏洞的概述,具体防范措施可能因应用场景和需求而有所不同。建议在实际开发中仔细研究并采取适合的安全措施来保护应用程序免受潜在攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值