java反序列化防御规则_java – 泽西州解析JSON / Jackson子类型反序列化的规则

最新推荐文章于 2023-08-14 13:48:49 发布
最新推荐文章于 2023-08-14 13:48:49 发布
阅读量220 收藏
点赞数
文章标签: java反序列化防御规则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29890207/article/details/114724169
版权

今天早上我花了一些时间来解决这个问题.一个有趣的用例.我想出了怎么做,但我不得不稍微改变你的json.这不是绝对必要的,但是类型转换不是您的问题的一部分,因此我们可以根据需要进行跟进:)

你的json:

artur@pandaadb:~/tmp/test$cat 1.json

{

"eventType": "1",

"params": {

"field1" : 10

}

}

artur@pandaadb:~/tmp/test$cat 2.json

{

"eventType": "2",

"params": {

"field2" : "10"

}

}

我正在使用这两个文件来执行请求.请注意,我将eventType更改为String而不是数字.我稍后会指出这一点.

你的模型对象:

public class Stats {

@JsonProperty

int eventType;

public Params params;

@JsonTypeInfo(use=JsonTypeInfo.Id.NAME, include=JsonTypeInfo.As.EXTERNAL_PROPERTY, property="eventType")

@JsonSubTypes({ @Type(value = Param1.class, name = "1"), @Type(value = Param2.class, name = "2") })

public void setParams(Params params) {

this.params = params;

}

}

我正在使用JsonTypeInfo,这是这样做的:

JsonTypeInfo.Id.NAME

逻辑类型名称,在您的情况下,它是属性“eventType”

JsonTypeInfo.As.EXTERNAL_PROPERTY

表示外部属性用于反序列化上下文.您只能在属性上使用它,而不能在Params本身上使用类注释.这就是为什么我注释setter方法而不是接口类.

property="eventType"

只需告诉jackson要使用的属性名称

然后在JsonSubTypes中我注释了可能的选项,在你的情况2中:

@Type(value = Param1.class, name = "1")

这告诉jackson在事件类型属性为“1”的情况下使用Param1.class

因此,对于PAram2.class和属性值为“2”相同

注意

这就是为什么我稍微改变了json.子类型注释不能将整数作为属性.现在您可以使用不同的选项,例如TypeConverters在运行时将您的整数属性转换为字符串,这样您就可以保持json相同.我跳过了这一步,快速谷歌会给你如何做到这一点的说明.

现在你的参数模型看起来像这样:

public interface Params {

public static class Param1 implements Params {

@JsonProperty

int field1;

}

public static class Param2 implements Params {

@JsonProperty

String field2;

}

}

我正在对这些属性进行注释,因此杰克逊知道要对这些属性进行反序列化.

注意我有一个问题,因为有两个属性让我懒惰的眼睛看起来一样:

JsonTypeInfo.As.EXTERNAL_PROPERTY

JsonTypeInfo.As.EXISTING_PROPERTY

你不能使用现有的:D这需要花费十分钟才能搞清楚.有趣的事实,我上面有两行,并且一直在评论一个,没有理解为什么他们中的一个在另一个工作时抛出异常.

无论如何.

最后测试:

artur@pandaadb:~/tmp/test$curl -XPOST "localhost:8085/api/v2/test" -d @1.json -H "Accept: application/json" -H "Content-Type: application/json"

io.gomedia.resource.Params$Param1

artur@pandaadb:~/tmp/test$

artur@pandaadb:~/tmp/test$curl -XPOST "localhost:8085/api/v2/test" -d @2.json -H "Accept: application/json" -H "Content-Type: application/json"

io.gomedia.resource.Params$Param2

请注意,资源正在打印实例化类的名称.正如您所看到的,两个json已被反序列化为正确的实例类.

我希望有帮助:)

阿图尔

(有趣的事实#2:在我的回答中,我也使用了EXISTING而不是EXTERNAL,只是没有看到它.我可能需要让杰克逊为了我的理智而改变他们的名字)

编辑

我刚尝试过,杰克逊很聪明,可以为你转换你的json.因此,您可以按原样保留json,并将模型中的属性作为String(如图所示).一切正常.

但是为了完整性,如果你想要一个转换器(因为你可能需要将你的字符串模型转换回一个整数来进行serailisation),这将是一个整数到字符串的转换器:

public class EventTypeConverter implements Converter{

@Override

public String convert(Integer value) {

return String.valueOf(value);

}

@Override

public JavaType getInputType(TypeFactory typeFactory) {

return SimpleType.construct(Integer.class);

}

@Override

public JavaType getOutputType(TypeFactory typeFactory) {

return SimpleType.construct(String.class);

}

}

你可以这样做:

@JsonProperty

@JsonDeserialize(converter=EventTypeConverter.class)

String eventType;

邱广涛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java防止Xss注入json_Xss,基础与实战一步到位。
weixin_39630744的博客
10-28 366
在深入了解之前Xss之前,我们先来了解一下浏览器常用的安全策略吧。什么是源和同源策略源就是主机,协议,端口名的一个三元组。同源策略(Same Origin Policy, SOP)是Web应用程序的一种策略机制,该机制规定了应用程序代码可以访问的资源范围。同源策略的基本思想是,源自于某台服务器上的代码只能访问同一台服务器上的Web资源。重要的事情说三遍:它只是个机制,而不是标准(哪怕标准...
java info类型_Java Jackson @JsonTypeInfo 多态类型处理
weixin_31971181的博客
02-24 847
jackson允许配置多态类型处理,当进行反序列话时,JSON数据匹配的对象可能有多个类型,为了正确的读取对象的类型,我们需要添加一些类型信息。可以通过下面几个注解来实现:@JsonTypeInfo作用于类/接口,被用来开启多态类型处理,对基类/接口和类/实现类都有效@JsonTypeInfo(use = JsonTypeInfo.Id.NAME,include = JsonTypeInfo....
Jackson控制多态的注解--JsonTypeInfo,JsonSubTypes,JsonTypeName
最新发布
Enya61的博客
08-14 1588
总的来说,这两个选项的区别在于类型信息是放在已有的属性中(EXISTING_PROPERTY)还是放在一个新的外部属性中(EXTERNAL_PROPERTY)。例如,如果您的数据结构已经包含了一个属性,您可以使用这个属性来存储类型信息。当使用 EXISTING_PROPERTY 时,类型信息被包含在一个已有的属性中,而不是创建一个新的属性来存储类型信息。这个外部属性与您的数据结构中的其他属性是分离的。当使用 EXTERNAL_PROPERTY 时,类型信息被包含在一个新的外部属性中。
jackson 字段映射_使用 Jackson 处理抽象类的序列化和反序列化
weixin_33574009的博客
01-29 2128
Json 的序列化和反序列化是我们常见的操作,很多库都提供了这样的能力帮助我们完成这样的操作。但业务有时可能变得稍微有些复杂,需要将一个抽象类的类实例序列化成一个 Json,也需要将一个 Json 反序列化成一个抽象类。而在反序列化的时候,就需要找到真正的类。JacksonJava 中常用的一种进行 Json 序列化和反序列化的库,它能否面对这样的业务呢?业务假设假设我们有这样...
Controller方法参数多态
qq_36592473的博客
02-22 1606
就是一个jackjson反序列化。 1、先定义接口/父类并 2、@JsonTypeInfo 标明反序列化规则。@JsonSubTypes标明实现类/类 @JsonTypeInfo(use = JsonTypeInfo.Id.NAME, include = JsonTypeInfo.As.EXTERNAL_PROPERTY, property = "typeName") @JsonSub...
jersey-java-test:测试泽西岛 Web API 的实现
06-29
泽西Java 测试 使用 Jersey 和 Java 测试 RESTful API 的实现。 用法 获取所有员工 $ curl --request GET \ --header "Accept: application/json" \ --include \ --write-out "\n" \ ...
SimpleJavaServer:预制的,运行中的,具有一些出色技术的Java服务器
05-01
简单的Java服务器 因此,我以前花了几个小时为学校项目进行...Jackson-JSON序列化和反序列化 Webjars-服务于Web端库 要使用Jetty启动服务器,只需从项目根目录中的终端运行此./gradlew jettyRun : ./gradlew jettyRun
r360-java:用于Route360°Web服务的Java客户端API
05-15
重要提示:Route360°现在称为Targomo。 这里的库将不再维护。 我们会将它们保留在此处以用于遗留目的,但为了将来使用,请访问: ... 例如,泽西岛: <groupId>org.glassfish.jersey.core</groupId> <artif
jersey:泽西Java REST API
05-12
5. **JSON与XML支持**:泽西提供对JSON和XML两种常见的数据交换格式的支持,可以通过`@Consumes`和`@Produces`注解指定输入和输出的媒体类型。 6. **过滤器与拦截器**:泽西框架允许自定义过滤器和拦截器,用于处理...
Jersey-Mongodb:Java Maven应用程序代表mongodb如何与jersey一起使用(RESTful)
05-23
7. **JSON序列化与反序列化**:由于RESTful服务通常使用JSON作为数据交换格式,所以需要理解如何在Java中处理JSON对象,例如使用Jackson或Gson库。 8. **测试**:使用JUnit或其他测试框架编写单元测试和集成测试,...
Java Jackson @JsonTypeInfo 多态类型处理
weixin_51078837的博客
01-08 1976
jackson允许配置多态类型处理,当进行反序列话时,JSON数据匹配的对象可能有多个类型,为了正确的读取对象的类型,我们需要添加一些类型信息。可以通过下面几个注解来实现: @JsonTypeInfo 作用于类/接口,被用来开启多态类型处理,对基类/接口和类/实现类都有效 @JsonTypeInfo(use = JsonTypeInfo.Id.NAME,include = JsonTypeInfo.As.PROPERTY,property = “name”) 这个注解有一些属性: use:定义使用哪一种
jackson annotations注解详解
热门推荐
清风抚白杨
11-18 19万+
jackson 1.x和2.x版本的注解是放置在不同的包下的 1
Json --- Jackson工具
__静禅__
01-08 3925
一、Jackson简介 Jackson是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。Jackson所依赖的jar包较少,简单易用并且性能也要相对高些,并且Jackson社区相对比较活跃,更新速度也比较快。 特点: 容易使用 - jackson API提供了一个高层次外观,
标签系列三:spring 中property解释以及property标签里面的属性
xiao1_1bing的博客
07-17 8万+
一、property标签: 英文解释:Bean definitions can have zero or more properties. Property elements correspond to JavaBean setter methods exposed by the bean classes. Spring supports primitives, references to ot...
java】Converter接口
shiki_41的博客
11-05 7413
static class AgeConverter implements Converter&lt;String, Integer&gt; { @Override public Integer convert(String value) { return Integer.valueOf(value.substring(1,3)); ...
Jackson使用`@JsonSubTypes`实现多态解析
千里之行,始于足下
04-20 1万+
Jackson使用@JsonSubTypes实现多态解析 假如有以下格式json json1.json 文件内容 [ { "id": "1", "type": "startEvent", "startEvent": "begin", "startInfo": "hello world" }, { "id": "2", "type": "e...
Lib之过?Java反序列化漏洞通用利用分析
weixin_34259159的博客
11-14 447
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值