Jackson反序列化

最新推荐文章于 2024-07-27 04:03:23 发布
最新推荐文章于 2024-07-27 04:03:23 发布
阅读量186 收藏
点赞数
文章标签: python 开发语言 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stopluox/article/details/132900148
版权
文章介绍了Jackson库在Java中进行对象序列化和反序列化的过程,包括ObjectMapper的使用方法,如何处理多态问题,以及DefaultTyping和@JsonTypeInfo注解在解决类型识别上的应用。同时提到了Jackson反序列化可能导致的安全漏洞,尤其是在使用默认类型设定或特定注解时。
摘要由CSDN通过智能技术生成

Jackson

Jackson是一个开源的Java序列化和反序列化工具,可以将Java对象序列化为XML或JSON格式的字符串,以及将XML或JSON格式的字符串反序列化为Java对象。由于其使用简单,速度较快,且不依靠除JDK外的其他库,被众多用户所使用。

依赖

com.fasterxml.jackson.core jackson-databind 2.7.9 com.fasterxml.jackson.core jackson-core 2.7.9 com.fasterxml.jackson.core jackson-annotations 2.7.9 # Jackson序列化与反序列化 Jackson提供了ObjectMapper.writeValueAsString()和ObjectMapper.readValue()两个方法来实现序列化和反序列化的功能。

POJO

package Jackson;

public class User {
private String username;
private String password;
public User() {
}

public User(String username, String password) {
    this.username = username;
    this.password = password;
}

public String getUsername() {
    return username;
}

public String getPassword() {
    return password;
}

public void setUsername(String username) {
    this.username = username;
}

public void setPassword(String password) {
    this.password = password;
}

}
测试

public class JacksonTest {
public static void main(String[] args) throws IOException {
User user = new User(“Sentiment”,“123456”);
ObjectMapper mapper = new ObjectMapper();
String json = mapper.writeValueAsString(user);
System.out.println(json);
User other = mapper.readValue(json,User.class);
System.out.println(other);
}
}
结果

{“username”:“Sentiment”,“password”:“123456”}
Jackson.User@67b6d4ae

多态问题

和fastjson的一样,需要解决多态的问题,比如:Apple是苹果还是苹果手机等,在fastjson中引入了@type字段来解决该问题

而在Jackson中也有与之对应的方法,Jackson实现了JacksonPolymorphicDeserialization机制来解决这个问题,有两种方法:DefaultTyping和@JsonTypeInfo注解。

DefaultTyping

Jackson提供一个enableDefaultTyping设置,其包含4个值,在com.fasterxml.jackson.databind.ObjectMapper.DefaultTyping能看到

JAVA_LANG_OBJECT
OBJECT_AND_NON_CONCRETE
NON_CONCRETE_AND_ARRAYS
NON_FINAL
默认情况下,即无参数的enableDefaultTyping是第二个设置,OBJECT_AND_NON_CONCRETE。

public ObjectMapper enableDefaultTyping() {
return enableDefaultTyping(DefaultTyping.OBJECT_AND_NON_CONCRETE);
}

JAVA_LANG_OBJECT

当被序列化或反序列化的类里的属性被声明为一个Object类型时,会对该Object类型的属性进行序列化和反序列化,并且明确规定类名。(当然,这个Object本身也得是一个可被序列化的类)

Demo

添加一个User2类

public class User2 {
public String name=“Tana”;
}
在User类里添加一个Object属性,并实现getter、setter、toString等方法

private Object object;

测试

public class JacksonTest {
public static void main(String[] args) throws IOException {
User user = new User(“Sentiment”,“123456”,new User2());
ObjectMapper mapper = new ObjectMapper();

    //JAVA_LANG_OBJECT
    mapper.enableDefaultTyping(ObjectMapper.DefaultTyping.JAVA_LANG_OBJECT);

    String json = mapper.writeValueAsString(user);
    System.out.println(json);
    User other = mapper.readValue(json,User.class);
    System.out.println(other);
}

}
结果

//设置JAVA_LANG_OBJECT
{“username”:“Sentiment”,“password”:“123456”,“object”:[“Jackson.User2”,{“name”:“Tana”}]}
User{username=‘Sentiment’, password=‘123456’, object=Jackson.User2@1753acfe}
//不设置JAVA_LANG_OBJECT
{“username”:“Sentiment”,“password”:“123456”,“object”:{“name”:“Tana”}}
User{username=‘Sentiment’, password=‘123456’, object={name=Tana}}
通过对比可以看出,设置JAVA_LANG_OBJECT后,会对Object属性对象进行了序列化和反序列化操作,会将对应的类名一并输出。

OBJECT_AND_NON_CONCRETE
默认选项。除了前面提到的特征,当类里有Interface、AbstractClass类时,对其进行序列化和反序列化。

后边就不举例子了

NON_CONCRETE_AND_ARRAYS
除了前面提到的特征外,还支持Array类型。

NON_FINAL
支持除声明为final之外的类型。

总结
DefaultTyping类型 描述说明
JAVA_LANG_OBJECT 属性的类型为Object
OBJECT_AND_NON_CONCRETE 属性的类型为Object、Interface、AbstractClass
NON_CONCRETE_AND_ARRAYS 属性的类型为Object、Interface、AbstractClass、Array
NON_FINAL 所有除了声明为final之外的属性

@JsonTypeInfo注解

@JsonTypeInfo注解是Jackson多态类型绑定的一种方式,支持下面5种类型的取值:

@JsonTypeInfo(use = JsonTypeInfo.Id.NONE)
@JsonTypeInfo(use = JsonTypeInfo.Id.CLASS)
@JsonTypeInfo(use = JsonTypeInfo.Id.MINIMAL_CLASS)
@JsonTypeInfo(use = JsonTypeInfo.Id.NAME)
@JsonTypeInfo(use = JsonTypeInfo.Id.CUSTOM)

JsonTypeInfo.Id.NONE

NONE所以设不设值效果都一样

#JsonTypeInfo.Id.CLASS
public class User {
private String username;
private String password;

@JsonTypeInfo(use = JsonTypeInfo.Id.CLASS)
private Object object;

结果

//设置前
{“username”:“Sentiment”,“password”:“123456”,“object”:{“name”:“Tana”}}
User{username=‘Sentiment’, password=‘123456’, object={name=Tana}}
//设置后
{“username”:“Sentiment”,“password”:“123456”,“object”:{“@class”:“Jackson.User2”,“name”:“Tana”}}
User{username=‘Sentiment’, password=‘123456’, object=Jackson.User2@5b275dab}
通过对比可以看出,@class方式能指定相关类,并进行相关调用。

JsonTypeInfo.Id.MINIMAL_CLASS

结果

{“username”:“Sentiment”,“password”:“123456”,“object”:{“@c”:“Jackson.User2”,“name”:“Tana”}}
User{username=‘Sentiment’, password=‘123456’, object=Jackson.User2@29774679}
跟JsonTypeInfo.Id.CLASS基本一样就是将@class缩写成了`@c

JsonTypeInfo.Id.NAME

类似于fastjson,加上了@type字段,指明了类名,但是并没有指明包名,因此反序列化时抛出异常,所以此种方式不能进行反序列化

{“username”:“Sentiment”,“password”:“123456”,“object”:{“@type”:“User2”,“name”:“Tana”}}
Exception in thread “main” com.fasterxml.jackson.databind.JsonMappingException: Could not resolve…

JsonTypeInfo.Id.CUSTOM

直接抛出异常,需要用户自定义来使用

流程分析

该流程分析是对使用DefaultTyping方法的分析,但是用@JsonTypeInfo跟这个是一模一样的

跟fastjson类似,反序列化时会调用对应类的setter和无参构造器,而由于object属性是User2类型的,这里会分别调用User类和User2类的无参构造,简单看下:

User类

根据一级级调用,到了vanillaDeserialize()中,先调用createUsingDefault()函数来调用指定类的无参构造函数来生成类实例:
在这里插入图片描述

跟进,又调用了__call()方法
在这里插入图片描述

跟进call(),通过newInstance进行了实例化,也就是将User类进行了实例化

public final Object call() throws Exception {
return _constructor.newInstance();
}
所以继续跟进后,因为被实例化了所以调用了,user类的无参构造
在这里插入图片描述

接着回到vanillaDeserialize(),生成实例Bean后,就开始进入do while循环来循环解析键值对中的属性值并调用deserializeAndSet()函数来解析并设置Bean的属性值:
在这里插入图片描述

跟进后先调用了deserialize()
在这里插入图片描述

继续跟进,其中第二个if会判断,反序列化内容是否携带类型,这里第一个属性是String类型所以调用到了下边
在这里插入图片描述

跟进deserialize()后,嗲用了p.getText(),获取到了p的属性值

public String deserialize(JsonParser p, DeserializationContext ctxt) throws IOException
{
if (p.hasToken(JsonToken.VALUE_STRING)) {
return p.getText();
}
最后通过invoke命令调用到了username的setter方法
在这里插入图片描述在这里插入图片描述

password属性也是String类型的,所以通过前边的do while循环,在调用deserializeAndSet();获取对应的值,跟username过程完全一样不看了

User2类

获取到password的值后,接着进入下一轮循环调用deserializeAndSet(),接着调用deserialize()判断反序列化数据的携带类型,由于User类中的object属性值是user2类的实例化,所以它是一个数组类型调用到了deserializeWithType()这里
在这里插入图片描述

跟进后又调用了deserializeTypedFromAny()
在这里插入图片描述

又调用_deserialize()

public Object deserializeTypedFromAny(JsonParser jp, DeserializationContext ctxt) throws IOException {
return _deserialize(jp, ctxt);
}
跟进后获取了deser的类型为BeanDeserializer,接着调用了该类的deserialize()
在这里插入图片描述

接着就回到了流程分析最开始的部分,调用vanillaDeserialize()

在这里插入图片描述

之后就是分别调用User2的构造器或Setter方法,不再往下看了

Jackson反序列化

在流程分析中可以发现,在调用过程中会分别调用类的控制器和setter方法,所以如果在控制器或setter中构造恶意代码那么就会导致恶意代码执行,在执行前其实有一些前提条件需要满足:

前提条件

满足下面三个条件之一即存在Jackson反序列化漏洞:

调用了ObjectMapper.enableDefaultTyping()函数;
对要进行反序列化的类的属性使用了值为JsonTypeInfo.Id.CLASS的@JsonTypeInfo注解;
对要进行反序列化的类的属性使用了值为JsonTypeInfo.Id.MINIMAL_CLASS的@JsonTypeInfo注解;
修改User2,执行calc

package Jackson;

public class User2 {
public String name=“Tana”;

public User2() {
    System.out.println("User2无参构造");
}

public void setName(String name) {
    System.out.println("User2.setName");
    this.name = name;
   try {
       Runtime.getRuntime().exec("calc");
   } catch (Exception e) {
       e.printStackTrace();
   }
}

}
运行后成功执行
在这里插入图片描述

总结
其实原理上很简单,就是在Jackson进行反序列化时执行了控制器和setter方法,造成恶意代码执行,但其实这种方式也只是本地调试并不适合作为实际攻击方式,真正的攻击还要看其它Jackson的调用链。

喜欢蹲局子的小猿同学
关注
[JAVA安全]JACKSON反序列化
snowlyzz的博客
01-28 2071
JACKSON反序列化原理
Jackson反序列化方法
y473158Yansu的博客
10-18 462
Jackson是一个开源的Java序列化和反序列化工具,可以将Java对象序列化为XML或JSON格式的字符串,以及将XML或JSON格式的字符串反序列化Java对象。由于其使用简单,速度较快,且不依靠除JDK外的其他库,被众多用户所使用。依赖2.7.92.7.92.7.9# Jackson序列化与反序列化Jackson提供了ObjectMapper.writeValueAsString()和ObjectMapper.readValue()两个方法来实现序列化和反序列化的功能。
使用Jackson对JSON数组中存放不同对象反序列化
最新发布
weixin_40848757的博客
07-27 22
最近项目中遇到一个JSON反序列化问题,看似很简单,但是又不常见,本来以为很容易解决,结果找了很多方法才解决了,基本过程大概是这样的。JSON数组中存放不同对象序列化过程基本代码基本代码比较简单,首页一个枚举类型表示动物类型,然后一个动物父类有一个动物类型字段,有两个子类,一个是Cat,一个是Dog,Cat有自己的字段ca...
[Java反序列化]—Jackson反序列化
Sentiment的博客
11-12 6629
DefaultTyping类型描述说明属性的类型为Object属性的类型为Object、Interface、AbstractClass属性的类型为Object、Interface、AbstractClass、ArrayNON_FINAL所有除了声明为final之外的属性其实原理上很简单,就是在Jackson进行反序列化执行了构造器和setter方法,造成恶意代码执行,但其实这种方式也只是本地调试了解原理用,并不适合作为实际攻击方式,真正的攻击还要看其它Jackson的调用链。
Jackson序列化与反序列化
Shawn的个人博客
09-28 2566
Jackson被认为是"Java JSON库"或"Java最好的JSON解析器"。或简单地被当作"JSON for Java"。不仅如此,Jackson 还是一套用于 Java(和 JVM 平台)的数据处理工具,包括流式JSONparser / generator库、匹配 data-binding 库(POJO和JSON相互转换),还有一个额外的 data format 模块来处理Avro,BSON,CBOR,CSV,Smile,,Protobuf,TOML,XML,YAML。
使用fasterxml.jackson反序列化json串
01-20
本篇将详细介绍如何使用fasterxml.jackson库来反序列化JSON字符串,并解决反序列化过程中遇到的问题。 首先,我们来理解JSON和反序列化的基本概念。JSON(JavaScript Object Notation)是一种轻量级的数据交换格式...
jackson反序列化间万能日期格式匹配集成
06-09 4199
使用jackson的registerModule功能,注册不同日期类型的反序列化器,支持各种场景的日期格式匹配,并封装类型fastjson式的调用方式。 主入口类JSON: package xxx.util; import java.lang.reflect.Type; import java.util.List; import java.util.TimeZone; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import
Jackson 反序列化处理带泛型
加油吧,骚年!
10-12 1万+
一、ObjectMapper 有一些特殊配置可以在封装为工具类用   import com.fasterxml.jackson.annotation.JsonIgnoreProperties; import com.fasterxml.jackson.annotation.JsonInclude; import com.fasterxml.jackson.core.type.TypeRef...
程序验证Jackson反序列化的规则、Jackson序列化与反序列化关键方法程序详细分析
jiayoudangdang的博客
11-11 3985
程序验证Jackson反序列化的规则 没有无参构造: 如果有参构造的参数全,或者更多(就是有不存在的值),这样还能正常运行 如果参数不全则直接异常 无参构造和有参构造方法都有的候先走无参构造; 无参构造需要set/get方法来完成序列化和反序列化 Jackson序列化与反序列化关键方法程序详细分析
使用Jackson库进行JSON序列化和反序列化
weixin_66196770的博客
02-16 2579
JSON序列化是将Java对象转换为JSON字符串的过程。在JSON序列化过程中,Java对象的属性将被转换为JSON对象的键值对,如果Java对象包含其他Java对象或集合,这些嵌套对象也会被转换为嵌套的JSON对象和JSON数组。JSON反序列化是将JSON字符串转换为Java对象的过程。在JSON反序列化过程中,JSON对象的键值对将被转换为Java对象的属性,如果JSON对象包含其他JSON对象或JSON数组,这些嵌套的JSON也会被转换为嵌套的Java对象和Java集合。
Jackson之JSON序列化和多态反序列化
IT- 研究者
07-19 7072
SerDe是Serialize/Deserilize的简称,目的是用于序列化和反序列化。 一、Jackson之序列化和反序列化 JSON作为一种轻量级的数据交换格式,其清晰和简洁的结构能够轻松地与Java对象产生映射关系。Java开发中常常使用Jackson对JSON文本格式进行序列化和反序列化: 序列化:是指将Java对象转换成Json文件或者Json字符串; 反序列化:是指将Json文件或者Json字符串转换成Java对象。 例如,有如下定义的java的bean: public cl.
Jackson实现序列化和反序列化
热门推荐
wus_shang的博客
02-08 2万+
简介通俗的来说,Jackson是一个 Java 用来处理 JSON 格式数据的类库,其性能非常好。Jackson具有比较高的序列化和反序列化效率,据测试,无论是哪种形式的转换,Jackson > Gson > Json-lib,而且Jackson的处理能力甚至高出Json-lib近10倍左右,且正确性也十分高。使用Jackson提供了很多类和方法,而在序列化和反序列化中使用的最多的类则...
Jackson反序列化的实现方法
小草的博客
07-12 2040
jackson反序列化主要有两种情况,一种是单对象反序列化,另一种是多对象、复杂对象(集合等)反序列化,具体如下: 一、单对象序列化 LatConfig latConfigObject = JacksonUtil.readValue(latConfig, LatConfig.class); 二、多对象、复杂对象(集合等)List enumConfigs = JacksonUtil.readV
jackson多态序列化与反序列化
骑着蜗牛向前跑的博客
07-07 2202
前几天遇到个问题,场景大概是 list 中既有父类又有子类,在反序列化丢掉了子类的信息。解决这个问题也没花多少间,不过还是打算记录下。参考链接如下: Jackson JSON - Using @JsonTypeInfo annotation to handle polymorphic types 我使用 Jackson 实现序列化和反序列化。它在处理多态序列化的思路是,构造一个起到标识作用的成员变量,并将该成员变量序列化到最终的字符串中,这样在反序列化候,jackson一看到这个标识符就知道该朝着
jackson序列化和反序列化@JsonProperty、@JsonGetter、@JsonSetter、@JsonFormat
OceanSky的专栏
05-12 1万+
1.@JsonProperty将传递过来的属性值序列化为指定的属性名 package com.yaomy.control.test.po; import com.fasterxml.jackson.annotation.JsonProperty; public class People { @JsonProperty("USERNAME") private String username; public String getUsername() { retur
如何使用Jackson反序列化对象数组
我是guyue,guyue就是我O(∩_∩)O
07-02 2372
如何使用Jackson反序列化对象数组 Jackson数据绑定文档表明Jackson支持反序列化“所有受支持类型的数组”,但是我无法确定确切的语法。 对于单个对象,我可以这样做: //json input { "id" : "junk", "stuff" : "things" } //Java MyClass instance = objectMapper.readValue(json, MyClass.class); 现在,对于数组,我想这样做...
jackson反序列化
08-04
Jackson反序列化是指将JSON字符串转换为Java对象的过程。通过使用Jackson框架提供的JsonParser和ObjectMapper类,我们可以将JSON字符串解析为对应的Java对象。具体步骤如下: 1. 创建一个JsonParser对象,用于解析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值