json反序列化时出现@type

已于 2022-04-29 16:16:33 修改
阅读量2.1k 收藏 1
点赞数
分类专栏: .net json 文章标签: json
于 2022-04-28 00:30:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22325259/article/details/124464018
版权
.net 同时被 2 个专栏收录
12 篇文章 1 订阅
订阅专栏
json
1 篇文章 0 订阅
订阅专栏

json字符串是这样的:

{
	"aa": "aaa",
	"bb": "bbb",
	"type": "ccc"
}

实体类是这样的:

    public class Class1
    {
        public string aa { get; set; }
        public string bb { get; set; }
        public string type { get; set; }
    }

反序列化后是这样的:

反序列化后type字段前多了一个@符号,如果调接口,别人的接口需要的参数是type,传个@type过去是不行的,为什么反序列化后type字段前面多了一个 @符号呢,从网上也没找到什么有用的资料。猜想:type是json反序列化过程中的一个关键字,反序列化过程中,不允许使用type关键字。

快速解决方法就是不要使用关键字type作为json的key。

参考文章:在datamember"__type"上反序列化JSON的问题 | 经验摘录

一个程序员_zhangzhen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用 @types 前缀的包是什么?有什么用?
小王的技术库
02-28 1678
整理了一套《前端大厂面试宝典》,包含了HTML、CSS、JavaScript、HTTP、TCP协议、浏览器、VUE、React、数据结构和算法,一共201道面试题,并对每个问题作出了回答和解析。有需要的小伙伴,可以点击文末卡片领取这份文档,无偿分享部分文档展示:文章篇幅有限,后面的内容就不一一展示了有需要的小伙伴,可以点下方卡片免费领取。
JSON 解析
LOLYIKU的博客
07-03 534
一 、Google 的GesonGson类:解析json的最基础的工具类JsonParser类:解析器来解析JSONJsonElements的解析树JsonElement类:一个类代表的JSON元素JsonObject类:JSON对象类型JsonArray类:JsonObject数组TypeToken类:用于创建type,比如泛型List<?>使用,不需要引用,Google官方20...
fastjson-对象转json字符串使用@JSONType注解指定对象字段的顺序
weixin_41979002的博客
12-28 5256
一、简单例子 依赖: <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.72</version> </dependency> 源码: package com.junjie.tes
fastjson中@jsonType注解的使用
热门推荐
轻风木竹
06-20 2万+
1.@JSONType的使用 @JSONType(includes = {"name","sex"}) @JSONType(ignores ={"id", "sex"})  放在实体类中就会只装配列举的字段, 2.@JSONField的使用 放在实体类中的某个字段上面 protected class H5PayConfig { @JSONField(name = "a
springboot+jpa接收数据库中json/jsonb类型数据@TypeDef&@Type
xsd_dongye的博客
11-28 4340
1,引入hibernate-types-5 <dependency> <groupId>com.vladmihalcea</groupId> <artifactId>hibernate-types-5</artifactId> <version>2.4.2</version> </dependency> 2,表结构 CREATE TABLE "public"."base_entity" (
type=json
weixin_33928467的博客
03-17 391
在Struts2中,type="json“这样是用来做AJAX请求的  所以根本就没有跳转页面。json是一种数据格式,具体可以网上去学习一下。在Struts2中,如果这样写,会将你Action中的变量转成JSON 返回到页面用来做AJAX是非常方便的。   只要继承extends="json-default",result type设置成json之后,容器会把action的属性自动封装到一个...
Javaweb安全——Fastjson反序列化利用
weixin_43610673的博客
10-13 4341
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。反序列化带有@type 字段的序列化数据会得到对应类型的实例化对象。漏洞的还是Fastjson的功能,此功能可以反序列化候人为指定类,然后在利用指定的反序列化器过程中,如果满足条件则会去反射调用方法,以串联
Json序列化和反序列化方法解析
10-26
JSON序列化和反序列化是处理JSON数据的核心过程。 **JSON序列化** 是将程序中的对象转换为JSON字符串的过程,以便可以存储或通过网络传输。在.NET框架中,有多种方法可以实现JSON序列化,例如使用`System.Runtime....
C#使用Json.Net进行序列化和反序列化及定制化
08-26
在C#编程中,Json.Net库是一个非常强大的工具,它被广泛用于对象的序列化和反序列化,特别是在处理JSON格式的数据Json.Net不仅高效,而且提供了丰富的功能,包括自定义序列化行为,使得开发者可以更加灵活地处理...
JSON数据序列化与反序列化实战1
08-08
总之,JSON是数据交换的重要格式,Python的`json`库提供了一套简单易用的API来处理JSON数据,包括序列化(将Python对象转为JSON字符串)和反序列化(将JSON字符串转为Python对象)。掌握这些基本操作对于任何涉及到...
Django 再谈一谈json序列化
09-17
在Python的Web开发框架Django中,JSON序列化是一个常见的需求,特别是在与前端交互,需要将后端处理的数据转换成JSON格式发送给浏览器。本文将深入探讨Django中的JSON序列化方法,以及如何处理一些特定类型的数据...
记Redis @type一个坑
weixin_42169734的博客
08-11 5321
问题描述: 我单独写了一个jar项目是用来更新redis的 然后主项目会去读取更新完之后的数据 但是主项目读取的候发现@type路径不一样导致映射不了实体类就会报错为一个转换异常 jar项目的实体路径为: com.xyz.miniLegion.entity.OpenNotice 主项目的实体路径为: com.qr.gameServer100.entity.OpenNotice 导致主项目去redis中获取jar项目写进去的value对应的type不一致 罪魁祸首:这.....
redis缓存序列化导致存储数据没有@type
sx40623746的博客
12-29 1157
在使用redis注解将数据缓存的候发现存储进去的数据是这样的。是因为set方法的序列化方法和注解的序列化方法不同。@[TOC]redis存储数据没有@type字段。将序列化方法更换成set方法所使用的序列化方法。之前通过set方法放进去的数据是这样的。
fastjson 如何忽略@type类型解析
程序员星痕的博客
09-14 3658
最新使用Springboot redisTemplate遇到一个问题,自定义RedisSerializer中使用了fastjson进行序列化,调用JSON.toJSONString函数添加了SerializerFeature.WriteClassName参数,导致反序列化候报错,,原因就是反序列化指定的类类型与序列化的候不一致,虽然类名一样,但是全路径不一样。通常在不同的系统间进行交互,使用同一个redis集群中的资源会出该问题。自定义AutoTypeCheckHandler,进行全局配置。
fastjson中@jsonType注解的功能简介说明
qq_25073223的博客
07-28 1972
fastjson中@jsonType注解的功能简介说明
FastJson反序列化漏洞(复现)
小赵同学的博客
07-29 3878
漏洞利用FastJson autotype处理Json对象的候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
TypeScript的三种声明文件、@types、.d.ts、declare、interface、type(超详细)
最新发布
qq_51904231的博客
11-13 3867
我们可能在 TypeScript 项目中使用一些全局变量,这些变量没有通过模块导入的方式引入,而是直接通过 `标签引入的脚本文件。这些脚本文件可能会扩展全局命名空间,例如在浏览器环境中的 `window` 对象上添加新的属性或方法。为了让 TypeScript 编译器正确地理解这些全局变量,并提供类型检查和代码提示,我们需要编写相应的全局变量声明文件(通常命名为 `.d.ts`)
1.typescirpt学习之路,*.d.ts和@types关系理解
zjscy666的博客
08-18 7870
    今天看了看ts,文档上很多没用讲,小编疑惑了很久一个问题!      *.d.ts和@types啥关系,小编查阅了很多文档,才弄明白。       首先,@types是npm的一个分支,我们把npm包发上去,npm包就会托管到服务器,供大家下载!但是ts为了代码的可复用性,要申明一些静态类型文件,那些文件就是*.d.ts,这些静态类型文件我们可以当成类似jq中的三方库,三方库的作用是为...
SpringMVC基于注解使用:JSON处理
学习笔记
08-27 1488
目录 1、SpringMVC的返回JSON数据 2、SpringMVC的获取JSON数据 1、以@RequestBody接收 2、以实体类方式接收 3、以Map接收 4、以List接收 json数据格式回顾: java转换为json 的过程一般会称为 “序列化” json转换为java 的过程一般会称为 “反序列化Json的属和字符串值 必须要用双引号“” 不能用单引号 java json String "xx
fastJson反序列化防止Json注入的具体做法
05-25
FastJson提供了一些功能来防止JSON注入,主要有以下几种方法: 1. 使用AutoType白名单限制反序列化对象的类型 可以通过设置AutoType白名单来限制FastJson反序列化可以接受的对象类型。只有在白名单中注册的类型才会被FastJson反序列化。这样可以防止攻击者通过构造恶意的JSON字符串来注入非法对象。 设置白名单的代码如下: ```java ParserConfig.getGlobalInstance().addAccept("com.example.User"); ``` 上面的代码表示只允许反序列化com.example.User类的对象。 2. 使用特定的反序列化器 FastJson提供了多种反序列化器,可以根据不同的需求选择合适的反序列化器。其中,ASMDeserializer是默认的反序列化器,也是最快的反序列化器。但是,ASMDeserializer不支持AutoType白名单机制,容易受到JSON注入攻击。 因此,在需要防止JSON注入的场景下,可以使用其他反序列化器,例如Jdk8ObjectDeserializer或JavaBeanDeserializer。这些反序列化器支持AutoType白名单机制,可以有效防止JSON注入攻击。 使用特定的反序列化器的代码如下: ```java String json = "{\"@type\":\"com.example.User\",\"name\":\"Tom\",\"age\":20}"; Object obj = JSON.parseObject(json, Object.class, new Jdk8ObjectDeserializer(ParserConfig.getGlobalInstance())); ``` 上面的代码使用Jdk8ObjectDeserializer反序列化JSON字符串。 3. 自定义反序列化过滤器 FastJson提供了反序列化过滤器功能,可以在反序列化JSON字符串进行过滤,只保留指定的属性。这样可以有效防止攻击者通过构造恶意的JSON字符串来注入非法属性。 自定义反序列化过滤器的代码如下: ```java public class MyFilter implements PropertyPreFilter { private Set<String> includes = new HashSet<>(); public MyFilter(String... props) { includes.addAll(Arrays.asList(props)); } @Override public boolean apply(JSONSerializer serializer, Object object, String name) { if (includes.contains(name)) { return true; } return false; } } String json = "{\"name\":\"Tom\",\"age\":20,\"sex\":\"male\"}"; MyFilter filter = new MyFilter("name", "age"); User user = JSON.parseObject(json, User.class, new ParseProcess() { @Override public void process(JSONLexer lexer, Object object, Object fieldName) { if (object instanceof JSONObject) { JSONObject jsonObject = (JSONObject) object; jsonObject.entrySet().removeIf(entry -> !filter.apply(null, object, entry.getKey())); } } }); ``` 上面的代码定义了一个MyFilter类,用于过滤JSON字符串中的非法属性。然后使用自定义的反序列化过滤器对JSON字符串进行过滤,只保留指定的属性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值