『Java安全』XStream基础使用与序列化和反序列化源码浅析

已于 2022-08-29 16:02:37 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: # Java安全基础 文章标签: java XStream 序列化 面向对象编程 xml
于 2022-08-10 11:33:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/126250860
版权

文章目录

简介

XStream is a simple library to serialize objects to XML and back again.

依赖

XStream使用了XML解析器xpp3_min

        <!-- https://mvnrepository.com/artifact/com.thoughtworks.xstream/xstream -->
        <dependency>
            <groupId>com.thoughtworks.xstream</groupId>
            <artifactId>xstream</artifactId>
            <version>1.4.6</version>
        </dependency>
        
        <!-- https://mvnrepository.com/artifact/xpp3/xpp3_min -->
        <dependency>
            <groupId>xpp3</groupId>
            <artifactId>xpp3_min</artifactId>
            <version>1.1.4c</version>
        </dependency>

基础使用demo

以下分析均采用此demo

JavaBean对象

写两个JavaBean

package demo;

public class Score {
    private String subject;
    private int point;

    public Score(String subject, int point) {
        this.subject = subject;
        this.point = point;
    }

    public String getSubject() {
        return subject;
    }

    public void setSubject(String subject) {
        this.subject = subject;
    }

    public int getPoint() {
        return point;
    }

    public void setPoint(int point) {
        this.point = point;
    }

}


package demo;

import java.util.ArrayList;
import java.util.List;

public class Student {
    private String name;
    private String id;
    private List<Score> scores = new ArrayList<Score>();

    public Student(String name, String id) {
        this.name = name;
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public List<Score> getScores() {
        return scores;
    }

    public void setScores(List<Score> scores) {
        this.scores = scores;
    }

    public void addScore(Score score){
        scores.add(score);
    }

    public String getId() {
        return id;
    }

    public void setId(String id) {
        this.id = id;
    }
}

代码

package demo;

import com.thoughtworks.xstream.XStream;

public class Demo {
    public static void main(String[] args) {
        Score math = new Score("math", 99);
        Student student = new Student("Bob", "114514");
        student.addScore(math);

        XStream xStream = new XStream();

		// 序列化
        String string = xStream.toXML(student);
        System.out.println(string);

		// 反序列化
        Student student1 = (Student) xStream.fromXML(string);
        System.out.println(student1.toString()+ " " +student1.getName() + " " +student1.getScores().get(0).getSubject());
    }
}

序列化结果

<demo.Student>
  <name>Bob</name>
  <id>114514</id>
  <scores>
    <demo.Score>
      <subject>math</subject>
      <point>99</point>
    </demo.Score>
  </scores>
</demo.Student>

反序列化结果

demo.Student@5f9d02cb Bob math

同一对象序列化和反序列化的一致性

对于相同XStream,反复序列化和反序列化同一个对象,结果都是一致的

        XStream xStream = new XStream();
        String string = xStream.toXML(student);
        System.out.println(string);
        
        Student student1 = (Student) xStream.fromXML(string);
        String string1 = xStream.toXML(student1);
        
        System.out.println(string.equals(string1));

在这里插入图片描述

进阶操作

给标签起别名

		XStream xStream = new XStream();
        xStream.alias("StuInfo", Student.class);
        String string = xStream.toXML(student);

在这里插入图片描述

将对象属性转化为XML标签属性

        XStream xStream = new XStream();
        xStream.useAttributeFor(Student.class, "name");
        xStream.useAttributeFor(Student.class, "id");
        String string = xStream.toXML(student);

在这里插入图片描述

添加隐式集合

对于集合的序列化和反序列化,告知XStream核心能够简化操作

        XStream xStream = new XStream();
        xStream.addImplicitCollection(Student.class, "scores");xStream.useAttributeFor(Student.class, "name");
        String string = xStream.toXML(student);

实际体现就是:给demo对象再添加一个score

在这里插入图片描述
此时List<Score>的标签就被自动忽略了,正常应该是<scores> <demo.Score></demo.Score>... </scores>

在这里插入图片描述
同样的反序列化时候直接多条<demo.Score>合并写入即可,XStream核心已经知晓此处是一个隐式的集合

如果没有事先声明此处是隐式集合,只把多条集合元素合并写入会抛错

设置变量不被序列化

        XStream xStream = new XStream();
        xStream.omitField(Student.class, "scores");
        String string = xStream.toXML(student);

在这里插入图片描述

XStream核心结构图

原链接见参考

浅析XStream序列化操作源码

调用toXML()时,首先new了一个StringWriter作为输出

在这里插入图片描述
之后这个StringWriter转换成了一个PrettyPrintWriter用于优化分层结构的XML输出,然后进入marshal方法

在这里插入图片描述
传入convertLookup和mapper

在这里插入图片描述
原链接见参考
接下来就是新建树编组器,然后开始编组

在这里插入图片描述
原链接见参考
首先进行头节点也就是整个类最外层的XML编组,然后convertAnother方法开始转换对象

在这里插入图片描述
来到doMarshal(),首先调用反射获取属性

在这里插入图片描述
然后放到List中

在这里插入图片描述
如果涉及可迭代对象,对内部有处理,流程也是调用marshal()到convertAnother()到visitSerializableFields()

在这里插入图片描述
在这里插入图片描述

层次化体现在使用栈和路径的概念来处理包含关系

在这里插入图片描述

回到doMarshal(),当所有属性都添加到fields中,就开始写入writer了,一个迭代器循环

在这里插入图片描述
调用writeField序列化属性,这里传入了五个参数:属性名称、别名、类型、所属类、值

在这里插入图片描述
首先写入左边的XML标签

在这里插入图片描述
然后调用marshallField写入值,最后再写入右XML标签

在这里插入图片描述
写入值时单独提取了出来,也就是说无论是键还是值,序列化操作都是提取成item转换,只是在标签左右尖括号等处有特殊额外写入处理

在这里插入图片描述
写入值最终调用了PrettyPrintWriter.setValue

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

浅析XStream反序列化操作源码

反序列化的流程大概与序列化一致

调用MarshallingStrategy.unmarshal解组
在这里插入图片描述
首先调用HierarchicalStreams.readClassType获取反序列化的类,然后调用convertAnother进行复原

在这里插入图片描述
获取converter转换器,进去看看细节

在这里插入图片描述
对于普通Bean,默认是ReflectionConverter,从缓存中获取的;如果缓存没有下面就会查找合适的converter

在这里插入图片描述
有很多个converter
在这里插入图片描述
值得注意的是,有两个特殊converter:一般Bean是反射converter,而实现了serializable接口的类走的是serializableConverter

在这里插入图片描述
serializableConverter的介绍:看介绍是可以调用readObject方法模拟正常反序列化流程

在这里插入图片描述
往后来到AbstractReflectionConverter.unmarshal,调用instantiateNewInstance新建反序列化类的实例,然后调用doUnmarshal给它添加所有的属性参数

在这里插入图片描述

参考

https://x-stream.github.io/index.html
https://github.com/jakingting/Xtream-jar/tree/master/XStreamUML
https://blog.csdn.net/u014565127/article/details/104419528
https://www.jianshu.com/p/387c568faf62

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://ho1aas.blog.csdn.net/article/details/126250860
版权声明:本文为原创,转载时须注明出处及本声明

XStream反序列化
Finlinlts的博客
10-01 1800
概述 XStreamJava类库,用来将对象序列化XML(JSON)或反序列化为对象。XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索,并不需要对对象作出修改。XStream可以序列化内部字段,包括私privatefinal字段,并且支持非公开类以及内部类。在缺省情况下,XStream不需要配置映射关系,对象字段将映射为同名XML元素。但是当对象字段名XML中的元素名不同时,XStream支持指定别名。XStream支持以方法调用的方式,或是Java标注的方式指定
Java中的序列化反序列化
最新发布
yuiezt的专栏
07-15 3747
序列化(Serialization)反序列化(Deserialization)是编程中常见的两个概念,它们主要涉及到将数据结构或对象状态转换为可以存储或传输的格式,以及将存储或传输的格式转换回原始的数据结构或对象状态的过程。这两个过程在数据持久化、网络通信、对象深拷贝等多个场景中发挥着重要作用。
java xstream_xstream实现对象的序列化反序列化Java
weixin_34355360的博客
02-16 504
概述最新整理Java方面XML序列化反序列化的常用工具类,找到了dom4jxstream。dom4j相对小巧,很好的解读xml;但是对于对象的xml序列化反序列化,我还是比较喜欢xsteam(ps:个人爱好吧),这里整理xstream的入门基础知识;使用引用maven内容com.thoughtworks.xstreamxstream1.4.8别名配置的方式1、可以通过类注解实现@XStrea...
使用 XStreamJava 对象序列化XML
05-13 669
XML 序列化用处很多,包括对象持久化数据传输。但是一些 XML 序列化技术实现起来可能很复杂。XStream 是一个轻量级的、简单易用的开放源代码 Java™ 库,用于将 Java 对象序列化XML 或者再转换回来。了解如何设置 XStream,如何使用序列化序列化对象以及从 XML 配置文件读取配置属性。使用 XStream 不用任何映射就能实现多数 Java 对象的序列化。在
java xstream_XStream使用
weixin_35036750的博客
02-16 732
本文主要用于记录XStream使用方式,特别是其中的“对象默认值”Map转换器的使用1,添加Maven依赖com.thoughtworks.xstreamxstream1.4.11.12,创建可以使用默认值的对象import java.lang.reflect.Field;import com.thoughtworks.xstream.converters.reflection.ObjectA...
xstream反序列化
weixin_48776804的博客
06-06 902
xstream反序列化
Java实现序列化反序列化的简单示例
09-02
总结,Java序列化反序列化Java开发中的基础技能,它能够帮助开发者在多种场景下处理传递对象。通过实现`Serializable`接口,开发者可以轻松地将对象转换为字节流,以便在需要时恢复。此外,结合不同的序列化库...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
Bbossxstream序列化反序列化性能对比1
08-08
在本文中,我们将深入探讨BbossXstream两个序列化反序列化库在性能方面的差异。这两个库在Java开发中广泛用于将对象转换为XML格式,以便于存储、传输或持久化。以下是对这两个库的详细分析。 首先,Bboss...
使用XStream序列化/反序列化对象
11-01
在`XStreamTest.java`文件中,通常会包含一个主测试类,这个类会展示如何使用XStream进行序列化反序列化。下面是一段可能的示例代码: ```java import com.thoughtworks.xstream.XStream; public class ...
XStream Java下的使用
12-13
XStream Java Android下的使用.有读写相关的测试.
Java 反序列化XStream 反序列化
蚁景网安学院
06-25 1028
XStream 是一个简单的基于 Java 库,Java 对象序列化XML,反之亦然(即:可以轻易的将 Java 对象 XML 文档相互转换)。如何使用 XStream 进行序列化反序列化操作?
Xstream反序列化分析(CVE-2021-39149)
zkaqlaoniao的博客
01-04 1133
前几个月XStream爆出一堆漏洞,这两天翻了翻,发现这波洞应该是黑名单绕过的最后一波了。因为在最新版的XStream 1.4.18中已经默认开启白名单的安全框架,按照XStream官方补漏洞的习惯,应该不会再接受新的绕过黑名单的漏洞了。
XSTREAM序列化反序列化
rainshow
06-11 264
使用XSTREAM序列化反序列化,感觉效果不错。 XSTREAM支持好几种方式的序列化XML、JSON、BIN),几种方式都有其鲜明的优点: 1)XML方式最容易阅读,且应用范围比较广。 2)JSON方式便于WEB上的传输 3)BIN方式的性能最好,占用的空间也比较少 在反序列化时,由于类的结构发生变化导致一些属性不存在了,可以通过下面的方式对于不存在的属性予以忽略: ...
XStream 源码解析
jackingzheng的专栏
11-22 1188
项目地址:XStream, 分析的版本: v1.4.11,Demo地址:TestStream, 相关jar下载地址 本文结构 1、功能介绍 2、总体设计 3、详细设计 4、如何提升XStream 解析速度 5、自定义Mapper自定义Converter 6、总结 ##1、功能介绍 1.1简介 提供给Java使用XML序列化工具 1.2 如何使用 public void testPopulati...
java xstream_XStream 用法汇总
weixin_32450633的博客
02-16 1608
XStream是一家Java对象XML转换工具,很好很强大。它提供了所有的基本型、排列、收集其他类型的支持,直接转换。因此XML在数据交换经常使用、对象序列化(Java对象的序列化技术有着本质的差别)。XStream对象相当Java对象XML之间的转换器,转换过程是双向的。创建XSteam对象的方式非常easy。仅仅须要new XStream()就可以。Javaxml。用toXML()方...
XStream(序列化/反序列化)
abc89062的博客
08-07 305
http://www.jroller.com/CoBraLorD/entry/net_transparent_xml_serialization_xstream 转载于:https://www.cnblogs.com/wangpy/archive/2009/08/07/1541249.html
javaxstream_JavaWeb之XStream使用
weixin_39759155的博客
02-28 339
XStream的作用XStream可以把JavaBean对象转换成xml文件。通常服务器给客户端响应的数据是来自数据库的一组对象,这时通过把对象转化成xml再响应给客户端,可以使用XStream。XSteam具体使用XSteam的jar包核心JAR包:xstream-1.4.7.jar;必须依赖包:xpp3_min-1.1.4c(XML Pull Parser,一款速度很快的XML解析器);使用步...
Java --- Xstream使用
dreamsofa的专栏
10-21 4909
Java --- Xstream Xstream提供了Java对象XML格式, JSON格式转换的支持。 Xml支持 基本使用 简单实用示例         TestBean tb = new TestBean();        tb.setId(1L);        tb.setAge(20);        tb.setUserName("张三");
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值