java反序列化防御规则_java – 泽西州解析JSON / Jackson子类型反序列化的规则

最新推荐文章于 2023-04-24 10:02:50 发布
最新推荐文章于 2023-04-24 10:02:50 发布
阅读量252 收藏
点赞数
文章标签: java反序列化防御规则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29890207/article/details/114724169
版权

今天早上我花了一些时间来解决这个问题.一个有趣的用例.我想出了怎么做,但我不得不稍微改变你的json.这不是绝对必要的,但是类型转换不是您的问题的一部分,因此我们可以根据需要进行跟进:)

你的json:

artur@pandaadb:~/tmp/test$cat 1.json

{

"eventType": "1",

"params": {

"field1" : 10

}

}

artur@pandaadb:~/tmp/test$cat 2.json

{

"eventType": "2",

"params": {

"field2" : "10"

}

}

我正在使用这两个文件来执行请求.请注意,我将eventType更改为String而不是数字.我稍后会指出这一点.

你的模型对象:

public class Stats {

@JsonProperty

int eventType;

public Params params;

@JsonTypeInfo(use=JsonTypeInfo.Id.NAME, include=JsonTypeInfo.As.EXTERNAL_PROPERTY, property="eventType")

@JsonSubTypes({ @Type(value = Param1.class, name = "1"), @Type(value = Param2.class, name = "2") })

public void setParams(Params params) {

this.params = params;

}

}

我正在使用JsonTypeInfo,这是这样做的:

JsonTypeInfo.Id.NAME

逻辑类型名称,在您的情况下,它是属性“eventType”

JsonTypeInfo.As.EXTERNAL_PROPERTY

表示外部属性用于反序列化上下文.您只能在属性上使用它,而不能在Params本身上使用类注释.这就是为什么我注释setter方法而不是接口类.

property="eventType"

只需告诉jackson要使用的属性名称

然后在JsonSubTypes中我注释了可能的选项,在你的情况2中:

@Type(value = Param1.class, name = "1")

这告诉jackson在事件类型属性为“1”的情况下使用Param1.class

因此,对于PAram2.class和属性值为“2”相同

注意

这就是为什么我稍微改变了json.子类型注释不能将整数作为属性.现在您可以使用不同的选项,例如TypeConverters在运行时将您的整数属性转换为字符串,这样您就可以保持json相同.我跳过了这一步,快速谷歌会给你如何做到这一点的说明.

现在你的参数模型看起来像这样:

public interface Params {

public static class Param1 implements Params {

@JsonProperty

int field1;

}

public static class Param2 implements Params {

@JsonProperty

String field2;

}

}

我正在对这些属性进行注释,因此杰克逊知道要对这些属性进行反序列化.

注意我有一个问题,因为有两个属性让我懒惰的眼睛看起来一样:

JsonTypeInfo.As.EXTERNAL_PROPERTY

JsonTypeInfo.As.EXISTING_PROPERTY

你不能使用现有的:D这需要花费十分钟才能搞清楚.有趣的事实,我上面有两行,并且一直在评论一个,没有理解为什么他们中的一个在另一个工作时抛出异常.

无论如何.

最后测试:

artur@pandaadb:~/tmp/test$curl -XPOST "localhost:8085/api/v2/test" -d @1.json -H "Accept: application/json" -H "Content-Type: application/json"

io.gomedia.resource.Params$Param1

artur@pandaadb:~/tmp/test$

artur@pandaadb:~/tmp/test$curl -XPOST "localhost:8085/api/v2/test" -d @2.json -H "Accept: application/json" -H "Content-Type: application/json"

io.gomedia.resource.Params$Param2

请注意,资源正在打印实例化类的名称.正如您所看到的,两个json已被反序列化为正确的实例类.

我希望有帮助:)

阿图尔

(有趣的事实#2:在我的回答中,我也使用了EXISTING而不是EXTERNAL,只是没有看到它.我可能需要让杰克逊为了我的理智而改变他们的名字)

编辑

我刚尝试过,杰克逊很聪明,可以为你转换你的json.因此,您可以按原样保留json,并将模型中的属性作为String(如图所示).一切正常.

但是为了完整性,如果你想要一个转换器(因为你可能需要将你的字符串模型转换回一个整数来进行serailisation),这将是一个整数到字符串的转换器:

public class EventTypeConverter implements Converter{

@Override

public String convert(Integer value) {

return String.valueOf(value);

}

@Override

public JavaType getInputType(TypeFactory typeFactory) {

return SimpleType.construct(Integer.class);

}

@Override

public JavaType getOutputType(TypeFactory typeFactory) {

return SimpleType.construct(String.class);

}

}

你可以这样做:

@JsonProperty

@JsonDeserialize(converter=EventTypeConverter.class)

String eventType;

邱广涛
关注
Java防止Xss注入json_Xss,基础与实战一步到位。
weixin_39630744的博客
10-28 408
在深入了解之前Xss之前,我们先来了解一下浏览器常用的安全策略吧。什么是源和同源策略源就是主机,协议,端口名的一个三元组。同源策略(Same Origin Policy, SOP)是Web应用程序的一种策略机制,该机制规定了应用程序代码可以访问的资源范围。同源策略的基本思想是,源自于某台服务器上的代码只能访问同一台服务器上的Web资源。重要的事情说三遍:它只是个机制,而不是标准(哪怕标准...
java info类型_Java Jackson @JsonTypeInfo 多态类型处理
weixin_31971181的博客
02-24 928
jackson允许配置多态类型处理,当进行反序列话时,JSON数据匹配的对象可能有多个类型,为了正确的读取对象的类型,我们需要添加一些类型信息。可以通过下面几个注解来实现:@JsonTypeInfo作用于类/接口,被用来开启多态类型处理,对基类/接口和类/实现类都有效@JsonTypeInfo(use = JsonTypeInfo.Id.NAME,include = JsonTypeInfo....
JacksonJSON序列化和多态反序列化
IT- 研究者
07-19 7199
SerDe是Serialize/Deserilize的简称,目的是用于序列化和反序列化。 一、Jackson之序列化和反序列化 JSON作为一种轻量级的数据交换格式,其清晰和简洁的结构能够轻松地与Java对象产生映射关系。Java开发中常常使用JacksonJSON文本格式进行序列化和反序列化: 序列化:是指将Java对象转换成Json文件或者Json字符串; 反序列化:是指将Json文件或者Json字符串转换成Java对象。 例如,有如下定义的java的bean: public cl.
jackson annotations注解详解
热门推荐
清风抚白杨
11-18 19万+
jackson 1.x和2.x版本的注解是放置在不同的包下的 1
SpringBoot 同一请求入口,根据不同的入参, 调用不同的实体类接收
最新发布
weixin_44449869的博客
04-24 3778
SpringBoot 同一请求入口,根据不同的入参, 调用不同的实体类接收
java无法解析类型数据,java 无法解析类型的任何bean [org.glassfish.jersey.message.filtering.spi.ObjectProvider]...
weixin_39782832的博客
03-15 731
我试图从Moxy转移到杰克逊json媒体提供商为我的泽西岛网络服务,并发现了迄今为止我无法解决的几个问题:首先,moxy对于同一段代码工作正常,但因为我们在其他项目中使用jackson,我希望保持一致…所以我改变了1)对pom的依赖org.glassfish.jersey.mediajersey-media-json-jackson${jersey.version}2)ResourceConfig...
java sse 406_java 服务器发送的事件不适用于泽西SSE
weixin_29515317的博客
03-02 1457
我正在尝试使用Jersey的JavaScript SSE.我在我的资源中有以下代码.我在Java7和Tomcat 7上托管.我没有收到任何错误.但我在页面上看不到数据.我打电话/广播发布数据.它确实显示了消息.但客户端没有任何东西.在Firefox中,我确实看到多次触发/广播事件.package net.jigarshah.dse.tracker;import javax.inject.Singl...
java同时传json数据和文件6,关于java:Spring:JSON数据和文件在同一个请求中
weixin_36076701的博客
03-10 1265
我知道如何创建使用MediaType.MULTIPART_FORM_DATA和@FormDataParam("file") FormDataBodyPart bodyPart处理文件的端点,但我想知道是否也可以在该请求中使用JSON数据?比如:@POST@Path("somepath")@Consumes(MediaType.MULTIPART_FORM_DATA)public Response ...
jersey-java-test:测试泽西岛 Web API 的实现
06-29
泽西Java 测试 使用 Jersey 和 Java 测试 RESTful API 的实现。 用法 获取所有员工 $ curl --request GET \ --header "Accept: application/json" \ --include \ --write-out "\n" \ ...
java insteadof_java jersey / Mockito:关于client.post调用验证的NullInsteadOfMockException...
weixin_29229261的博客
02-16 1631
我遇到了一个奇怪的问题,单元测试以下的泽西客户端调用:WebResource webResource = _client.resource(url);ClientResponse response = webResource.accept("application/json").type("application/x-www-form-urlencoded").post(ClientRespons...
jackson 驼峰注解_jackson annotations注解详解
weixin_34304538的博客
01-15 459
jackson 1.x和2.x版本的注解是放置在不同的包下的1.x是在jackson core jar包org.codehaus.jackson.annotate下2.x是在jackson-databind包com.fasterxml.jackson.annotation下jackson的自动检测机制jackson允许使用任意的构造方法或工厂方法来构造实例使用@JsonAutoDetect(作用在...
Java序列化 Jackson 常用方法总结
Gang-bb的博客
07-11 1305
文章目录1. 常用注解1.1 @JsonIgnore、@JsonIgnoreProperties1.2 @JsonInclude(...)1.3 @JsonProperty1.4 @JsonFormat1.5 @JsonTypeName @JsonTypeInfo2. 工具类封装 1. 常用注解 1.1 @JsonIgnore、@JsonIgnoreProperties 用@JsonIgnore注释后的字段,在json序列化时将java bean中的一些属性忽略掉,序列化和反序列化都受影响。 import
【转】Jackson之多态反序列化(父类转不同类)
每天进步一点就够了
03-28 9456
1.场景描述 JSON作为一种轻量级的数据交换格式,其清晰和简洁的结构能够轻松地与Java对象产生映射关系。例如,一个Coke(可口可乐)类的java代码如下: public class Coke{ String name = "Coke"; int capacity= 500; } 用json描述该类: { "name":"Coke", "capa...
jackson 字段映射_使用 Jackson 处理抽象类的序列化和反序列化
weixin_33574009的博客
01-29 2180
Json 的序列化和反序列化是我们常见的操作,很多库都提供了这样的能力帮助我们完成这样的操作。但业务有时可能变得稍微有些复杂,需要将一个抽象类的类实例序列化成一个 Json,也需要将一个 Json 反序列化成一个抽象类。而在反序列化的时候,就需要找到真正的类。JacksonJava 中常用的一种进行 Json 序列化和反序列化的库,它能否面对这样的业务呢?业务假设假设我们有这样...
Controller方法参数多态
qq_36592473的博客
02-22 1672
就是一个jackjson反序列化。 1、先定义接口/父类并 2、@JsonTypeInfo 标明反序列化规则。@JsonSubTypes标明实现类/类 @JsonTypeInfo(use = JsonTypeInfo.Id.NAME, include = JsonTypeInfo.As.EXTERNAL_PROPERTY, property = "typeName") @JsonSub...
Java Jackson @JsonTypeInfo 多态类型处理
weixin_51078837的博客
01-08 2154
jackson允许配置多态类型处理,当进行反序列话时,JSON数据匹配的对象可能有多个类型,为了正确的读取对象的类型,我们需要添加一些类型信息。可以通过下面几个注解来实现: @JsonTypeInfo 作用于类/接口,被用来开启多态类型处理,对基类/接口和类/实现类都有效 @JsonTypeInfo(use = JsonTypeInfo.Id.NAME,include = JsonTypeInfo.As.PROPERTY,property = “name”) 这个注解有一些属性: use:定义使用哪一种
Json --- Jackson工具
__静禅__
01-08 3964
一、Jackson简介 Jackson是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。Jackson所依赖的jar包较少,简单易用并且性能也要相对高些,并且Jackson社区相对比较活跃,更新速度也比较快。 特点: 容易使用 - jackson API提供了一个高层次外观,
java】Converter接口
shiki_41的博客
11-05 7481
static class AgeConverter implements Converter<String, Integer> { @Override public Integer convert(String value) { return Integer.valueOf(value.substring(1,3)); ...
基于Java EE 6和JDK 8构建Java学习项目实践
资源摘要信息: "Java8Sandbox: 使用 Java EE 6 框架和 JDK 8 学习项目" Java 8 是Java编程语言的一个重要版本,它引入了lambda表达式、新的日期时间API、流API等特性,极大地提升了开发效率和性能。Java EE 6(Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值