Fastjson源码分析—反序列化—Feature的功能和实现

最新推荐文章于 2024-04-29 12:15:45 发布
最新推荐文章于 2024-04-29 12:15:45 发布
阅读量4.7k 收藏 6
点赞数 2
分类专栏: Fastjson 文章标签: json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45854465/article/details/120873554
版权

2021SC@SDUSC

Feature的功能和实现

当我们对json字符串进行反序列化时,有时并不想完全按照json字符串默认的规则生成相应的Java对象,而有时我们手中的字符串亦不符合json字符串的格式,无法按照原有的规则进行解析。这时,我们需要修改反序列化的默认解析规则,而Fastjson恰好提供了这一功能。
使用Fastjson进行反序列化的时候,有一个可选的参数features,用于对反序列化的过程和结果进行定制化。

Feature的取值表示

先看看这几个重载方法:

public static Object parse(String text, ParserConfig config, Feature... features) {
        int featureValues = DEFAULT_PARSER_FEATURE;
        for (Feature feature : features) {
            featureValues = Feature.config(featureValues, feature, true);
        }

        return parse(text, config, featureValues);
    }

public static Object parse(String text, ParserConfig config, int features) {
        if (text == null) {
            return null;
            
        }

        DefaultJSONParser parser = new DefaultJSONParser(text, config, features);
        Object value = parser.parse();

        parser.handleResovleTask(value);

        parser.close();

        return value;
    }

可以看到,这两个方法唯一的区别在于参数列表的不同,第一个方法允许传入多个features参数,而第二个方法只允许传入一个features。然而奇怪的是第一个方法调用了第二个方法,且只通过一个int类型的features就代表了多个参数,这一步怎么实现的?
接着我们跟进Feature.config()方法,看看它是如何把多个参数合并成一个int类型的变量来进行表示的。

    public static int config(int features, Feature feature, boolean state) {
        if (state) {
            features |= feature.mask;
        } else {
            features &= ~feature.mask;
        }

        return features;
    }

显然,该方法通过一个状态位state来对枚举类Feature的所有取值进行标识,例如,如果传入参数包含Feature.AllowComment,则对其标识为true,并将features和该数值进行二进制或操作,否则进行与操作。最后,features这个int型的数值已经与所有取值进行运算,得到的是一个二进制数,能够表示Feature的所有枚举情况。

Feature的功能

这里列举出枚举类Feature的所有对象,一一陈述其功能。

 /**
	 * 
	 */
    AutoCloseSource,
    /**
	 * 
	 */
    AllowComment,
    /**
	 * 
	 */
    AllowUnQuotedFieldNames,
    /**
	 * 
	 */
    AllowSingleQuotes,
    /**
	 * 
	 */
    InternFieldNames,
    /**
	 * 
	 */
    AllowISO8601DateFormat,

    /**
     * {"a":1,,,"b":2}
     */
    AllowArbitraryCommas,

    /**
     * 
     */
    UseBigDecimal,
    
    /**
     * @since 1.1.2
     */
    IgnoreNotMatch,

    /**
     * @since 1.1.3
     */
    SortFeidFastMatch,
    
    /**
     * @since 1.1.3
     */
    DisableASM,
    
    /**
     * @since 1.1.7
     */
    DisableCircularReferenceDetect,
    
    /**
     * @since 1.1.10
     */
    InitStringFieldAsEmpty,
    
    /**
     * @since 1.1.35
     * 
     */
    SupportArrayToBean,
    
    /**
     * @since 1.2.3
     * 
     */
    OrderedField,
    
    /**
     * @since 1.2.5
     * 
     */
    DisableSpecialKeyDetect,
    
    /**
     * @since 1.2.9
     */
    UseObjectArray,

    /**
     * @since 1.2.22, 1.1.54.android
     */
    SupportNonPublicField,

    /**
     * @since 1.2.29
     *
     * disable autotype key '@type'
     */
    IgnoreAutoType,

    /**
     * @since 1.2.30
     *
     * disable field smart match, improve performance in some scenarios.
     */
    DisableFieldSmartMatch,

    /**
     * @since 1.2.41, backport to 1.1.66.android
     */
    SupportAutoType,

    /**
     * @since 1.2.42
     */
    NonStringKeyAsString,

    /**
     * @since 1.2.45
     */
    CustomMapDeserializer,

    /**
     * @since 1.2.55
     */
    ErrorOnEnumNotMatch,

    /**
     * @since 1.2.68
     */
    SafeMode,

    /**
     * @since 1.2.72
     */
    TrimStringFieldValue,

    /**
     * @since 1.2.77
     * use HashMap instead of JSONObject, ArrayList instead of JSONArray
     */
    UseNativeJavaObject

AutoCloseSource:这个特性,决定了解析器是否将自动关闭那些不属于parser自己的输入源

AllowComment:该特性决定parser将是否允许解析使用Java/C++ 样式的注释

AllowUnQuotedFieldNames:这个特性决定parser是否将允许使用非双引号属性名字。JavaScript中允许单引号作为属性名,但是json标准中不允许这样

AllowSingleQuotes:该特性决定parser是否允许单引号来包住属性名称和字符串值。默认关闭

InternFieldNames:该特性决定JSON对象属性名称是否可以被String#intern 规范化表示。

AllowISO8601DateFormat:这个设置为true则遇到字符串符合ISO8601格式的日期时,会直接转换成日期类。

AllowArbitraryCommas:允许多重逗号,如果设为true,则遇到多个逗号会直接跳过

UseBigDecimal:这个设置为true则用BigDecimal类来装载数字,否则用的是double

SupportArrayToBean:支持数组to对象

DisableASM:DisableASM

UseObjectArray:使用对象数组

Feature的实现

现在我们看一下Feature对象是在哪里起作用的。

DefaultJSONParser类里面有一个

public final Object parseObject(Map object, Object fieldName)

方法,其方法体太多就不全部粘贴过来了。这个方法里面有这么几行代码:

if (!lexer.isEnabled(Feature.AllowSingleQuotes)) {
                                throw new JSONException("syntax error");
                            }

这里很好的解释了AllowSingleQuotes这个对象起作用的方式。如果设置其为true,那么Fastjson会按照原有的解析方式解析字符串并声称对象。(上一节讲token的时候说明了Fastjson如何进行词法分析,且其实现时原本就支持单引号作为变量名)。如果设置其为false,一旦json字符串出现单引号作为变量名的情况,就会抛出语法错误的异常。

这只是一个bool类型的Feature的起作用方式,行为比较简单。下面我们来分析UseBigDecimal是如何起作用的。

仍然是这个方法:

public final Object parseObject(Map object, Object fieldName)

注意到其中有这一行代码:

 value = lexer.decimalValue(lexer.isEnabled(Feature.UseBigDecimal));

我们看看decimalValue()方法的结构:

 public final Number decimalValue(boolean decimal) {
        char chLocal = this.charAt(this.np + this.sp - 1);

        try {
            if (chLocal == 'F') {
                return Float.parseFloat(this.numberString());
            } else if (chLocal == 'D') {
                return Double.parseDouble(this.numberString());
            } else {
                return (Number)(decimal ? this.decimalValue() : this.doubleValue());
            }
        } catch (NumberFormatException var4) {
            throw new JSONException(var4.getMessage() + ", " + this.info());
        }
    }

显然,如果我们使用了Feature.UseBigDecimal,那么lexer.isEnable()会返回true,进而处理数字时,会用BigDecimal类来装载数字,否则使用double类来装载数字。

其他Feature就不一一分析了,可以明确的是这些配置信息都在DefaultJSONParser类里面起作用。它们的通用逻辑是一旦使用了某些Feature,会在lexer类里面用一个二进制的int变量表示所有标明了的Feature,随后在解析类里面讲这些Feature用布尔类型表示,通过if语句控制解析是是否抛出异常或者是否调用某些专用的解析类。

总结

Feature是Fastjson提供的一个非常重要的功能。适当地对Feature进行调整,可以定制用户反序列化的细节,比如是否允许使用单引号表示变量名和是否要用BigDecimal类对double类型的数字进行装填。Feature的实现比较隐秘,我debug了很长时间才找到它们起作用的代码段,最后才弄清楚Feature起作用的逻辑。

Hzr|
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
主要介绍了SpringBoot Redis配置Fastjson进行序列化和反序列化实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
FastJson 2『使用心得』
Eleganise'的博客
12-05 785
包含了 JSONJSONObject、@JSONField、NameFilter、ValueFilter使用的示例。还包括 JSONWriter.FeatureJSONReader.Feature、PropertyNamingStrategy 枚举类的举例说明。
fastjsonFeature的用法及中文注解
热门推荐
xinyuan的专栏
10-23 2万+
源码 /** * 这个特性,决定了解析器是否将自动关闭那些不属于parser自己的输入源。 如果禁止,则调用应用不得不分别去关闭那些被用来创建parser的基础输入流InputStream和reader;如果允许,parser只要自己需要获取closed方法(当遇到输入流结束,或者parser自己调用 JsonParder#close方法),就会处理流关闭。 * 注意:这个属性默认是t...
fastJson属性配置说明
10-11
fastJson属性详细说明:FastJsonHttpMessageConverter4、AutoCloseSource、AllowComment、AllowUnQuotedFieldNames、AllowSingleQuotes、InternFieldNames等
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}] 数组里面封装数组的反序列化方法,通过两个bean,进行封装
Fastjson Feathure
weixin_34249367的博客
06-09 139
转载于:http://code.alibabatech.com/wiki/display/FastJSON/Serial+Features Fastjson序列化时,可以指定序列化的特性,以满足不同的序列化需求。 SerialFeature类的定义 package com.alibaba.fastjson.serializer;   public ...
FastJson
爱吃鱼油
08-16 684
Fastjson介绍Fastjson是一个Java语言编写的JSON处理器,由阿里巴巴公司开发。1、遵循http://json.org标准,为其官方网站收录的参考实现之一。2、功能qiang打,支持JDK的各种类型,包括基本的JavaBean、Collection、Map、Date、Enum、泛型。3、无依赖,不需要例外额外的jar,能够直接跑在JDK上。4、开源,使用Apache License...
FastJson详解
qgnczmnmn的博客
07-29 9594
1、引入所需要的依赖 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.47</version> </dependency> 2、List集合转...
utils008_fastjsonFeature类学习(更快描述某些属性)
靖松的博客
04-27 804
package com.jingsong.test; /** * @author jingsong * @date 2022/4/26 0:02 * @desc com.alibaba.fastjson.parser.Feature * 该文件中提供了描述某一事物的方法,可以更快的描述某一事物的特征,下面为简单的学习 */ public class JSONFeatureTest { public static void main(String[] args) { //
fastjson的简单介绍及常用案例
renguiriyue的博客
09-14 156
fastjson的简单介绍及常用案例fastjsonjsonObjectjsonArrayJSON fastjson 一种轻量级的数据交换格式。 若有不恰之处,请各位道友指正~ jsonObject JSONObject主要封装了各种get方法,通过键值对中的键来获取其对应的值 常用的方法: 主要通过KV的键值对的方式获取到数据。 jsonArray 主要用于直接操作json对象,因为js...
Java反序列化实战.pdf
08-08
本议题将从那些经典案例入手,分析攻击方和防御方的对抗过程。会从fastjson与weblogic的两个经典漏洞,带大家傲游反序列化的世界。 反序列化入门 Fastjson Weblogic 反序列化防御
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
fastjson和jackson序列化数据的区别
12-21
fastjson和jackson序列化数据的区别直奔主题一言不合就上代码注意 直奔主题 1、fastjson将字符串反序列化为对象时,只会处理第一层,内部会序列化为JsonObject或者JsonArray,使用二级结构和三级结构时还要再次处理, 优点就是快,特别快。 2、jackson会将深层字符串一起序列化 一言不合就上代码 public class Demo { public static void main(String [] args){ String orderInfo = "{\n" + "\"orderId\":\"100
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
![img](https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/master/Fastjson/Fastjson%E5%90%84%E7%89%88%E6%9C%AC%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%B1%87%E6%80%BB/PIC/index.png) # Fastjson<=1.2.47反序列化漏洞为例 1、此时/tmp目录 ![img](https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/master/Fastjson/Fastjson%E5%90%84%E7%89%88%E6%9C%AC%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%B1%87%E6%80%BB/PIC/tmp.png) 2、编译Exploit.java javac
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
下面小编就为大家带来一篇springmvc fastjson 反序列化时间格式化方法(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
fastjson反序列化利用
09-29
如您在使用本工具的过程中存在任何非法行为,您将自行承担所有后果,本工具所有开发者和所有贡献者不承担任何法律及连带责任。 除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用本工具。...
iOS 模拟请求 (本地数据调试)
sgliquangang的专栏
04-28 1210
APP代码已编写完成,但后台的接口还无法使用,这时 APP开发就可能陷入停滞。此时iOS 模拟请求就派上用场了,使用模拟请求来调试代码,如果调试都通过了,等后台接口可用时,基本只需调通即可完成几乎所有APP开发工作,这样APP开发人员的开发不会浪费时间,开发节奏和质量都得到保证本文章使用青花瓷(charles)为读者介绍模拟调试的正确姿势,如果没有安装,请百度之参考文章使用Mac自带的apache制作测试假数据使用青花瓷的Map local功能方式请求假数据。
[XR806开发板试用] XR806 调用cjson 实现数据序列化
最新发布
weixin_47569031的博客
04-29 249
[XR806开发板试用] XR806 调用cjson 实现数据序列化
Json(标题)
m0_74107946的博客
04-28 273
将结构体转变为Json的过程叫编组,编组是通过json.Marshal函数完成的。json的对象类型可以用于编码Go语言中的map类型和结构体。Go语言对这些标准格式和编码都有良好的支持。json可以表示字符串,数字,布尔值和对象。类似的还有XML,ASN.1。是和在编译阶段关联到该成员的。
fastjson 2.0.0版本 反序列化配置
06-11
fastjson 2.0.0版本提供了多种反序列化配置,可以通过配置来控制反序列化的行为,以增强安全性和灵活性。以下是常见的反序列化配置: 1. AutoType:开启该配置后,fastjson将支持反序列化任何Java类,包括未知的、不在白名单中的类。这个配置存在安全隐患,因为攻击者可以通过构造恶意的JSON字符串来执行任意代码。因此,建议仅在必要时才开启该配置,并通过白名单过滤掉非法类。 2. ParserConfig:该配置用于管理反序列化时的解析器配置,包括白名单、黑名单、自定义反序列化器等。通过ParserConfig可以实现更精细的反序列化控制。 3. Feature:该配置用于开启或关闭fastjson的一些特性,如自动类型匹配、允许注释、允许单引号等。通过Feature可以灵活地控制反序列化的行为。 4. ASM:该配置用于开启或关闭fastjson的ASM字节码增强功能,以提高反序列化性能。默认情况下,fastjson会尝试使用ASM来优化反序列化代码,但在某些环境下可能会造成兼容性问题。 5. SerializeConfig:该配置用于序列化时的配置管理,包括白名单、黑名单、自定义序列化器等。通过SerializeConfig可以实现更精细的序列化控制。 这些配置可以通过调用JSON类的静态方法来设置,例如: ``` JSON.DEFAULT_PARSER_FEATURE |= Feature.AutoCloseSource.getMask(); JSON.DEFAULT_PARSER_FEATURE &= ~Feature.UseBigDecimal.getMask(); ``` 注意,反序列化配置应该根据具体情况进行选择和设置,以确保安全和性能。建议仔细阅读fastjson的官方文档,并参考相关的安全规范和最佳实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值