fastjson序列化的坑

于 2023-07-28 16:08:37 发布
阅读量147 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17805707/article/details/131982381
版权

fastjson在序列化的时候默认会将属性第一个字母转小写输出,反序列化的时候可能会有问题,那么如果希望原样输出,可以采用下面的处理方式

1  在类中使用@JSONField(name = "")

2  在初始化fastjson的时候设置TypeUtils.compatibleWithJavaBean = true

3  直接配置系统环境变量,新建,变量名:TypeUtils.compatibleWithFieldName,变量值:true

 

 

时间的痕迹01
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson生成Json时,首字母大写及日期类型问题
公子公子的博客
08-28 2558
最近在将公司某个工具由C#翻译为Java,其中有Json文件的生成部分,为了与原程序生成交付物一致,所以属性名称开头也保持为大写。在最终生成json文件时,出现在大小写属性重复的问题。 参考文章:fastjson转换json时,碰到的那些首字母大小写转换的! 文章来源:segmentfault,作者:agamem。 文章目录前言一、全大写的键名二、第一个字符大写,第二个字符不是大写的键名三、首字符小写,第二个字符大写的键名四、属性中Date被转换成long类型总结 前言 本文主要用于记录Json生成中
fastjson.android首字母大写转化问题
qq_39359887的博客
07-30 541
fastjson转化
fastjosn转换成字符串时首字母大小写问题
strawbingo的专栏
03-30 3512
fastjson输出字符串默认首字母小写,如果想要大写(和bean一致),需要使用如下配置。 TypeUtils.compatibleWithJavaBean = true; 之前使用的1.1.*版本,该版本发现注入漏洞,公司统一升级。发现升级为1.2.28 后引入了一个bug。   前提:使用了fastjson某些配置。 例:在1.1.*版本中使用如下配置方式,结果正常
fastjson jsonobject 转bean失败_Fastjson 反序列化RCE分析
weixin_39993623的博客
11-22 534
前言fastjson是阿里巴巴的一个json库,频频爆RCE。本文就由小编带大家一起分析fastjson至今的一些RCE漏洞。fastjson的使用引入库<dependency> <groupId>com.alibabagroupId> <artifactId>fastjsonartifactId> <version...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
SpringBoot Redis配置Fastjson进行序列化反序列化实现
10-16
这里,我们为`value`和`hashValue`设置了Fastjson序列化器,而`key`和`hashKey`使用了默认的`StringRedisSerializer`,因为Redis的key通常为字符串。 **3. 示例实体类** 为了演示序列化反序列化的效果,我们可以...
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],...数组里面封装数组的反序列化方法,通过两个bean,进行封装
fastjson反序列化利用
09-29
“本工具仅能在取得足够合法授权的企业安全建设中使用,在使用本工具过程中,您应确保自己所有行为符合当地的法律法规。 如您在使用本工具的过程中存在任何非法行为,您将自行承担所有后果,本工具所有开发者和所有...
fastjson1.2.24反序列化RCE
最新发布
06-24
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解** 在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化反序列化的库一样,Fastjson在某些版本...
fastjson1.2.83反序列化漏洞
Coder的博客
07-13 6879
【代码】fastjson1.2.83反序列化漏洞。
fastjson 序列化 属性首字母自动小写
qq_35745341的博客
12-22 721
使用JSONFiled("")即可解决。 jackson @JsonProperty(value = “”)
阿里巴巴的fastjson包,java对象转json时,属性首字母大小写问题+对象中包含list<T>,T对象序列化json后属性排序从a-z问题
Alan的博客
04-22 3049
需求:将java对象转为json字符串 问题1:javaBean中有属性:ACCNum,如果直接使用fastJson中的JSONObject.toJSONString(obj)生成字符串中,属性名变成了aCCNum 网上搜索了一番,解决方法: 1、直接配置系统环境变量,新建,变量名:TypeUtils.compatibleWithFieldName,变量值:true ...
fastjosn转换成字符串时首字母变小写问题
chy2z的专栏
06-28 1213
fastjson版本&lt;dependency&gt; &lt;groupId&gt;com.alibaba&lt;/groupId&gt; &lt;artifactId&gt;fastjson&lt;/artifactId&gt; &lt;version&gt;1.2.33&lt;/version&gt; &lt;/dependency&gt; 查看fa
feign发送请求,请求参数中使用@JSONField,在fastjson1.2.83版本中无效;导致参数驼峰转换不了下划线
Samopig的博客
02-14 1070
起因:Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。所以被调用方升级到了1.2.83版本,导致以前使用实体对象参数的驼峰自动转换不了下划线。@JsonProperty("login_id"),但是我这边还需要将。尝试使用@JSONField,还是不行。Fastjson升级到一样的1.2.83。版本才行,低版本尝试了不行。网上找了几种方法也是不行。
fastjson中的@JSONField注解
北辰
06-21 4584
使用fastjson之前需先引入下述依赖,当前版本为1.2.75 JSONField中的name属性用来指定JSON串中key的名称 序列化测试: 执行上述代码,其输出结果为: 反序列化测试: 执行上述代码,其输出结果为: @JSONField作用在Field时,其name不仅定义了输出的名称,同时也定义了输入key的名称 执行上述代码,其输出结果为: fastjson在进行操作时,是根据getter和setter的方法进行的,并不是依据Field进行 format属
Java 笔记】使用Fastjson2时,对象转json首字母大小写问题
ladymorgana的博客
01-05 8236
对象转json首字母大小写问题
java alibaba fastjson自定义序列化反序列化(教你解决问题思路)
HumorChen的博客
12-09 2380
然后看当前目录这边可以看到上面有个Serializer包,是序列化器的,点进去看,这些好的东西分类存的是十分规范的,所以很好找 往下翻阅,可以看到有ObjectSerializer或者ObjectWritter的东西,点进去看源代码上的注释 自定义的示范代码如下,他定义了个ResultCode类,然后定义了他的序列化器类ResultCodeSerilaizer,实现了对象序列化接口ObjectSerializer ,然后自定义逻辑对这个对象进行序列化,他是直接写入ResultCode的int类型的valu
JSONObject.toJavaObject对首字母大写的属性设置失败
Love_Long的博客
12-10 1257
今天使用JSONObject.toJavaObject()方法试图将一个JSONObject对象装换为指定class对象,该对象属性如下所示 private Integer ID; private String fertilizerSiteName; private String userName; private Boolean send...
fastjson序列化漏洞
07-25
Fastjson是一款流行的Java JSON库,用于序列化反序列化Java对象和JSON数据。在Fastjson 1.2.24及之前的版本中存在一个安全漏洞,被称为Fastjson序列化漏洞(Fastjson Deserialization Vulnerability)或Fastjson反序列化漏洞。 该漏洞的主要原因是Fastjson反序列化过程中存在一些不安全的默认行为,可能导致恶意攻击者利用特制的JSON数据触发远程代码执行。攻击者可以构造恶意JSON数据,利用漏洞触发任意代码执行、命令执行、远程命令执行等攻击。 Fastjson团队在发现漏洞后迅速发布了修复版本,并建议所有使用Fastjson的开发者升级到最新版本以解决安全问题。此外,开发者还可以采取以下措施来防止Fastjson序列化漏洞的利用: 1. 及时升级:确保使用的Fastjson版本是修复了该漏洞的最新版本。 2. 输入验证:在接收JSON数据并进行反序列化之前,对输入进行严格验证和过滤,确保只接受可信任的数据。 3. 白名单机制:限制反序列化过程中可以实例化的类和调用的方法,使用白名单机制来控制允许的操作。 4. 安全配置:通过配置Fastjson的ParserConfig,禁用自动类型识别(autoTypeSupport)或限制白名单(setAccept)等来增强安全性。 总结而言,Fastjson序列化漏洞是由于Fastjson反序列化过程中的不安全默认行为导致的安全问题。及时升级Fastjson版本、输入验证、白名单机制和安全配置等措施可以帮助防止该漏洞的利用。 请注意,本回答仅涉及Fastjson序列化漏洞的概述,具体防范措施可能因应用场景和需求而有所不同。建议在实际开发中仔细研究并采取适合的安全措施来保护应用程序免受潜在攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值