Fastjson源码分析—ParserConfig的作用及原理(1)

最新推荐文章于 2024-06-11 09:51:17 发布
最新推荐文章于 2024-06-11 09:51:17 发布
阅读量8.3k 收藏 5
点赞数 3
分类专栏: Fastjson 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45854465/article/details/121214104
版权

2021SC@SDUSC
使用Fastjson进行反序列化时,我们总希望能够对反序列化的过程进行一个定制,有时候这种定制我们希望是临时的,有时希望是全局的。之前提到过我们可以通过feature参数对反序列化的属性进行定制,包括是否允许使用大括号、是否允许多重逗号等。今天谈一下ParserConfig类,它拥有比feature更强大的功能,从更高的角度对反序列化过程进行控制,支持全局定制,也可以进对某一次反序列化改变其默认的行为。下面开始分析。

目录

ParserConfig的使用

上一次测试ASM的代码中,已经用到了ParserConfig的全局对象,进行ASM enable的设置。这次我们尝试使用局部对象来定制反序列化。

 @Test
    public void test03(){
        String str="{\"age\":13,\"name\":\"james\"}";
        ParserConfig config=new ParserConfig();
        config.setAsmEnable(false);
        Student student= JSON.parseObject(str,Student.class,config);
        System.out.println("age:"+student.getAge());
        System.out.println("name:"+student.getName());

    }

这里我们使用config对象,设置了ASM为关闭状态(默认打开),然后对json字符串进行了反序列化。这就是该类的简单用法。

ParserConfig的变量及含义

public static final String DENY_PROPERTY = "fastjson.parser.deny";
    public static final String AUTOTYPE_ACCEPT = "fastjson.parser.autoTypeAccept";
    public static final String AUTOTYPE_SUPPORT_PROPERTY = "fastjson.parser.autoTypeSupport";
    public static final String[] DENYS;
    private static final String[] AUTO_TYPE_ACCEPT_LIST;
    public static final boolean AUTO_SUPPORT;
    public static ParserConfig global;
    private final IdentityHashMap<Type, ObjectDeserializer> deserializers;
    private boolean asmEnable;
    public final SymbolTable symbolTable;
    public PropertyNamingStrategy propertyNamingStrategy;
    protected ClassLoader defaultClassLoader;
    protected ASMDeserializerFactory asmFactory;
    private static boolean awtError;
    private static boolean jdk8Error;
    private boolean autoTypeSupport;
    private long[] denyHashCodes;
    private long[] acceptHashCodes;
    public final boolean fieldBased;
    public boolean compatibleWithJavaBean;

解释一下这里面最关键的变量:
AUTO_SUPPORT:表示自动类型反序列化是否打开。打开后,允许用户在反序列化数据中通过“@type”指定反序列化的Class类型。

global:全局ParserConfig对象,对整个项目进行控制,包括是否使用asm、是否打开autotype等

asmEnable:设置asm是否可用,默认在安卓环境下为false(处于性能考虑),其他环境下为true

defaultClassLoader:默认的类加载器

ParserConfig的关键方法解析

checkAutoType(String typeName, Class<?> expectClass, int features)

fastjson需要将json字符串反序列化成对象,就需要调用对象的getter和setter,如果这些方法里面存在危险操作,就会导致漏洞。意识到这一问题,开发者使用了checkAutoType方法来检测类是否允许被反序列化。简单来说,这个方法就是一个黑名单检测方法,下面看一下源代码。

 public Class<?> checkAutoType(String typeName, Class<?> expectClass, int features) {
        if (typeName == null) {
            return null;
        } else if (typeName.length() < 128 && typeName.length() >= 3) {
            String className = typeName.replace('$', '.');
            Class<?> clazz = null;
            long BASIC = -3750763034362895579L;
            long PRIME = 1099511628211L;
            long h1 = (-3750763034362895579L ^ (long)className.charAt(0)) * 1099511628211L;
            if (h1 == -5808493101479473382L) {
                throw new JSONException("autoType is not support. " + typeName);
            } else if ((h1 ^ (long)className.charAt(className.length() - 1)) * 1099511628211L == 655701488918567152L) {
                throw new JSONException("autoType is not support. " + typeName);
            } else {
                long h3 = (((-3750763034362895579L ^ (long)className.charAt(0)) * 1099511628211L ^ (long)className.charAt(1)) * 1099511628211L ^ (long)className.charAt(2)) * 1099511628211L;
                long hash;
                int i;
                if (this.autoTypeSupport || expectClass != null) {
                    hash = h3;

                    for(i = 3; i < className.length(); ++i) {
                        hash ^= (long)className.charAt(i);
                        hash *= 1099511628211L;
                        if (Arrays.binarySearch(this.acceptHashCodes, hash) >= 0) {
                            clazz = TypeUtils.loadClass(typeName, this.defaultClassLoader, false);
                            if (clazz != null) {
                                return clazz;
                            }
                        }

                        if (Arrays.binarySearch(this.denyHashCodes, hash) >= 0 && TypeUtils.getClassFromMapping(typeName) == null) {
                            throw new JSONException("autoType is not support. " + typeName);
                        }
                    }
                }

                if (clazz == null) {
                    clazz = TypeUtils.getClassFromMapping(typeName);
                }

                if (clazz == null) {
                    clazz = this.deserializers.findClass(typeName);
                }

                if (clazz != null) {
                    if (expectClass != null && clazz != HashMap.class && !expectClass.isAssignableFrom(clazz)) {
                        throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName());
                    } else {
                        return clazz;
                    }
                } else {
                    if (!this.autoTypeSupport) {
                        hash = h3;

                        for(i = 3; i < className.length(); ++i) {
                            char c = className.charAt(i);
                            hash ^= (long)c;
                            hash *= 1099511628211L;
                            if (Arrays.binarySearch(this.denyHashCodes, hash) >= 0) {
                                throw new JSONException("autoType is not support. " + typeName);
                            }

                            if (Arrays.binarySearch(this.acceptHashCodes, hash) >= 0) {
                                if (clazz == null) {
                                    clazz = TypeUtils.loadClass(typeName, this.defaultClassLoader, false);
                                }

                                if (expectClass != null && expectClass.isAssignableFrom(clazz)) {
                                    throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName());
                                }

                                return clazz;
                            }
                        }
                    }

                    if (clazz == null) {
                        clazz = TypeUtils.loadClass(typeName, this.defaultClassLoader, false);
                    }

                    if (clazz != null) {
                        if (TypeUtils.getAnnotation(clazz, JSONType.class) != null) {
                            return clazz;
                        }

                        if (ClassLoader.class.isAssignableFrom(clazz) || DataSource.class.isAssignableFrom(clazz)) {
                            throw new JSONException("autoType is not support. " + typeName);
                        }

                        if (expectClass != null) {
                            if (expectClass.isAssignableFrom(clazz)) {
                                return clazz;
                            }

                            throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName());
                        }

                        JavaBeanInfo beanInfo = JavaBeanInfo.build(clazz, clazz, this.propertyNamingStrategy);
                        if (beanInfo.creatorConstructor != null && this.autoTypeSupport) {
                            throw new JSONException("autoType is not support. " + typeName);
                        }
                    }

                    int mask = Feature.SupportAutoType.mask;
                    boolean autoTypeSupport = this.autoTypeSupport || (features & mask) != 0 || (JSON.DEFAULT_PARSER_FEATURE & mask) != 0;
                    if (!autoTypeSupport) {
                        throw new JSONException("autoType is not support. " + typeName);
                    } else {
                        return clazz;
                    }
                }
            }
        } else {
            throw new JSONException("autoType is not support. " + typeName);
        }
    }

代码很长,总结一下该类的处理顺序:

  1. 之前黑名单绕过的修复
  2. 开启 autoTypeSupport 或者 expectClass 不为空时的黑白名单(白名单直接返回)
  3. 尝试从缓存 Map 中加载类,若成功且无 expectClass 时可以直接返回
  4. 尝试从 deserializers 中加载类,若成功且无 expectClass 时可以直接返回
  5. 未开启 autoTypeSupport 时的黑白名单
  6. 加载类
  7. expectClass 校验和注解校验,如果通过则返回
  8. 未开启 autoTypeSupport 则抛出异常

这种黑名单检测机制,保证了黑客无法通过写恶意类来绕过autotyoe的反序列化过程对程序造成坏的影响。

public void configFromPropety(Properties properties)

这个方法如其名字一样,从配置类导入配置,完成对ParserConfig的初始化。

 public void configFromPropety(Properties properties) {
        String property = properties.getProperty("fastjson.parser.deny");
        String[] items = splitItemsFormProperty(property);
        this.addItemsToDeny(items);
        property = properties.getProperty("fastjson.parser.autoTypeAccept");
        items = splitItemsFormProperty(property);
        this.addItemsToAccept(items);
        property = properties.getProperty("fastjson.parser.autoTypeSupport");
        if ("true".equals(property)) {
            this.autoTypeSupport = true;
        } else if ("false".equals(property)) {
            this.autoTypeSupport = false;
        }

    }

可以看到,该方法首先从配置类中获取fastjson.parser.deny值,保存为字符串,然后分隔该字符串得到每个deny值,再保存在字符串数组里面,最终增添到ParserConfig对象中。然后获取fastjson.parser.autoTypeAccept值,以同样的方法增添到ParserConfig对象中。最后,获取fastjson.parser.autoTypeSupport,设置对应的值。这里解释一下这三个变量:deny为拒绝反序列化的类,即黑名单,禁止这些类反序列化。accept反之。其中accept优先级高于deny。autotypeSupport表示是否支持自动类型转换。

总结

本篇提到了ParserConfig类既可以对项目进行全局的控制,也可以用来生成临时变量,将某一次或几次的反序列化改变行为。ParserConfig中涉及许多方法,还包括了黑名单、白名单的存在,用来防治恶意攻击。
下一篇我们继续深入ParserConfig类,探究它更深层次的用法。

Hzr|
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
configparser配置文件解析模块
WY_记录
08-12 689
configparser配置文件解析模块 配置文件 configparser 的基本操作 其他注意 configparser配置文件解析模块 配置文件 配置文件中包含一个或多个 section, 每个 section 有自己的 option; section 用 [sect_name] 表示,每个option是一个键值对,使用分隔符= 或: 隔开; 在 optio...
Fastjson源码分析ParserConfig作用原理(2)
qq_45854465的博客
11-15 2744
2021SC@SDUSC 上一篇我们分析ParserConfig的使用方法、关键变量的含义以及checkAutoType方法ConfigFromPropety方法的解析,这篇文章我们继续分析ParserConfig的另外几个关键方法,深度了解它的作用原理。 目录getDeserializer(Type type)createJavaBeanDeserializerinitJavaBeanDeserializers总结 getDeserializer(Type type) 该方法用于获取指定类型的反序列化器
FastJsonParser
05-20
FastJsonParser
标题:小巧而强大的FastJsonParser:你的高效JSON解析选择!
最新发布
gitblog_00050的博客
06-11 360
标题:????小巧而强大的FastJsonParser:你的高效JSON解析选择! 项目地址:https://gitcode.com/ysharplanguage/FastJsonParser 项目简介 System.Text.Json是一个精巧且快速的JSON解析器和反序列化库,适用于完整的.NET平台。它的核心代码简洁明了,专注于速度和效率。这个轻量级的解决方案由单一源文件组成,不到1,700行代...
configparser模块用法
依の手帳
12-01 751
configparser模块是python内置的一个用于处理配置文件(.ini文件)的模块. import configparser config = configparser.ConfigParser() config['phonenum'] = {'ergou':'13344445555'} with open('example.ini', 'w') as f: config.wri...
深入fastjson源码命令执行调试
2201_75353421的博客
06-28 394
本文给出一份fastjson在调试命令执行时的底层过程展现。
FastJSON 简单使用
u013456370的专栏
02-09 648
转载链接:http://blog.csdn.net/flysun3344/article/details/54707965需要相关jar包,如果使用maven的话,在pom.xml文件加入一下依赖:&lt;dependency&gt; &lt;groupId&gt;com.alibaba&lt;/groupId&gt; &lt;artifactId&gt;fastjson&lt...
fastjson源码
02-22
fastjson源码
fastjson-master源码
10-17
深入源码阅读,我们可以了解Fastjson的设计模式和算法实现,例如它的分词器(`JSONLexer`)是如何解析JSON的,`ParserContext`是如何管理上下文的,以及`SerializeConfig`和`MappingJackson2HttpMessageConverter`等...
fastjson1.2.40 jar包及源码
11-09
Fastjson是一个Java库,可用于将Java对象转换为其JSON表示形式。 它也可以用来将JSON字符串转换为等效的Java对象。 Fastjson可以使用任意的Java对象,包括你没有源代码的预先存在的对象。
fastJson开发包、源码及相关api文档
09-07
`fastjson-1.1.33-sources.jar`是FastJson源码,对于学习和调试非常有帮助;`fastjson-1.1.33.jar`则是FastJson的运行库,包含了所有需要的类和方法。 总结来说,FastJson是一个功能强大且高效的JSON处理工具,...
FastJson使用详解
marylgao技术专栏
03-15 233
基本介绍 Fastjson是阿里巴巴的开源Json解析库,可以解析Json格式的字符串,同时能将Java Bean解析成json字符串,也能将Json格式字符串解析成Java Bean。 提供了访问快速,使用简单,应用广泛等特点 ...
ParserConfig.getGlobalInstance()解决autotype被禁止问题
qq_40321119的博客
09-15 4278
我所在的项目组是使用的微服务架构,我们组只负责我们自有模块,其他模块由其他团队负责,有一天,看到一条新闻说是fastjson修复了一些高危漏洞,然后我们就协定升版本,然后今天就踩到了这个坑,报错如下: com.alibaba.fastjson.JSONException: unclosed.str 1.问题展示 问题是这样的,我们原有代码转换的时候一个json字符串处理如下 String str = "{‘@type‘:‘com.dcf.platform.token.MessageHolder‘,‘for
Fastjson AutoType
Fly_鹏程万里
05-07 7754
Fastjson 1.2.24特性 Fastjson 1.2.24有两个特性: 默认开启AutoType选项 在处理以@type形式传入的类的时候,会默认调用该类的共有set\get\is函数 于是乎,攻击者可以配合一些存在问题的类,来实现RCE,这也是Fastjson 系列的第一个RCE安全通告问题: https://github.com/alibaba/fastjson/wiki/se...
Python configparser 的基础使用(一)
伊洛的博客
02-15 876
1. 配置文件 在编写程序时,会用到一些配置。一般配置都会写入.ini的文件。如果要使用python读取配置,就可以使用python自带的configparser模块 本文首发于伊洛的个人博客:https://yiluotalk.com,欢迎关注并查看更多内容!!! 2. ini文件结构 键值对可以使用' = '、 ' : ' 分隔 section区分大小写 key的名字不区分大小写 键值...
Exception in thread "main" com.alibaba.fastjson.JSONException: autoType is not support. com.exa.demo
zuihongyan518的博客
07-11 1844
将类反序列化的时候,报错:再网上查询了一些资料,现在推荐几个网址供大家参考:http://www.tinygroup.org/docs/3281429682083150397https://github.com/alibaba/fastjson/wiki/enable_autotype大体原因就是使用fastjson的时候:序列化时将class信息写入,反解析的时候,fastjson默认情况下会开...
解决com.alibaba.fastjson.JSONException: autoType is not support. xs:string问题
qq_38867952的博客
06-03 395
解决com.alibaba.fastjson.JSONException: autoType is not support. xs:string问题 产生原因: 由于公司漏洞扫描,fastjson在反序列化时存在漏洞,可导致远程任意代码执行,fastjson版本需要升级;升级fastjson的版本后,禁用了部分autotype的功能,由于反序列化对象时,需要检查是否开启了autotype。所以如果反序列化检查时,autotype没有开启,就会报错。 解决办法: 开启autotype:添加JVM启动参数:-
如何解决 fastjson autoType is not support 问题
热门推荐
ttyy1112的专栏
06-30 1万+
如何解决fastjson autoType is not support问题1. 添加白名单配置全局对象配置jvm启动参数配置fastjson.properties文件2. 打开autoType功能配置全局对象配置jvm启动参数配置fastjson.properties文件Maven Configuration Sample参考 fastjson版本升级后执行程序报 autoType is not support. 可以考虑通过以下两种方式解决: 1. 添加白名单 配置全局对象 在通过JSON, JSONA
autotype安全 fastjson_Fastjson多个远程代码执行漏洞预警
weixin_39850699的博客
12-22 170
Fastjson多个远程代码执行漏洞预警2020-03-22一、概要近日,华为云关注到fastjson爆出存在多个新的Gadgets( shiro-core、ignite-jta 、aries.transaction.jms、caucho-quercus)可造成反序列远程代码执行。3月22日fastjson官方Git发布1.2.67新版本,当中更新了autoType安全黑名单,由于黑名单的补充具有...
fastjson源码分析
05-12
fastjson是一款Java语言编写的高性能JSON处理库,其主要特点是速度快、内存占用低、功能强大、易于使用。下面就简单介绍一下fastjson源码分析。 1. 核心架构 fastjson的核心架构包括JSONReader、JSONWriter、JSONLexer、JSONParser、JSONScanner、JSONSerializer、JSONDeserializer等模块。其中,JSONLexer和JSONScanner是fastjson的词法分析器,JSONParser是解析器,JSONSerializer和JSONDeserializer是序列化和反序列化实现。 2. 序列化和反序列化 fastjson的序列化和反序列化实现主要基于Java的反射机制和ASM字节码生成技术。在序列化时,fastjson会根据Java对象的类型信息来生成相应的序列化代码,并将序列化后的数据输出到JSONWriter中。在反序列化时,fastjson根据JSON数据的类型信息来生成相应的反序列化代码,并将反序列化后的Java对象输出到JSONDeserializer中。 3. 性能优化 fastjson在性能上有很多优化,其中最重要的是使用了预编译技术,将JSON字符串解析为Java对象时,fastjson会对JSON字符串进行预编译,生成一个解析器,以提高解析效率。此外,fastjson还使用了缓存技术,将解析器和序列化器缓存起来,以便重复使用,从而减少了对象的创建和销毁所带来的开销。 4. 使用场景 fastjson广泛应用于互联网领域,如阿里巴巴、淘宝、天猫等都在使用fastjson来处理JSON数据。fastjson还支持多种数据格式的解析和序列化,如XML、CSV等。 以上是fastjson源码分析的简单介绍,相信大家对fastjson有了更深入的了解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值