【问题记录】fastjson序列化MultipartFile接口入参导致的异常

已于 2024-04-16 13:47:39 修改
阅读量1.9k 收藏 4
点赞数 1
文章标签: java 后端 前端 bug
于 2023-07-23 07:08:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44005802/article/details/131875763
版权

目录

一、异常场景复现

1、maven

<!-- https://mvnrepository.com/artifact/com.fasterxml.jackson.jaxrs/jackson-jaxrs-json-provider -->
<dependency>
    <groupId>com.fasterxml.jackson.jaxrs</groupId>
    <artifactId>jackson-jaxrs-json-provider</artifactId>
    <version>2.13.3</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.projectlombok/lombok -->
<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
    <version>1.18.24</version>
    <scope>provided</scope>
</dependency>
<!-- 切面 spring-boot-starter-aop -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-aop</artifactId>
    <version>2.6.2</version>
</dependency>

2、java

2-1、Java-aspect

package com.example.temp.apo;

import com.alibaba.fastjson.JSON;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.*;
import org.springframework.stereotype.Component;

@Aspect
@Component
@Slf4j
public class LogAspect {

    @Pointcut("execution(public * com.example.temp.controller..*.*(..))")
    public void logPointCut() {
    }

    @Before("logPointCut()")
    public void doBefore(JoinPoint joinPoint) {
        log.info(" |---- 请求体: {}", JSON.toJSONString(joinPoint.getArgs()));
    }

    @After("logPointCut()")
    public void doAfter() {
    }

    @AfterThrowing(value = "logPointCut()", throwing = "e")
    public void afterThrowing(Throwable e) {
    }
}

2-2、java-controller

package com.example.temp.controller;

import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.multipart.MultipartFile;

@RestController
@RequestMapping("file")
public class FileController {
    @PostMapping(value = "/upload")
    public Object importLicense(@RequestParam("file") MultipartFile file) {
        if (file == null || file.isEmpty()) {
            return "上传文件不能为空";
        }
        return null;
    }
}

3、触发

postman

二、异常堆栈

2023-07-23 07:03:49.148 [traceId:]  ERROR o.a.c.c.C.[.[.[.[dispatcherServlet] -175 -Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception [Request processing failed; nested exception is com.alibaba.fastjson.JSONException: write javaBean error, fastjson version 1.2.83, class org.springframework.web.multipart.support.StandardMultipartHttpServletRequest$StandardMultipartFile, fieldName : 0, write javaBean error, fastjson version 1.2.83, class org.springframework.web.multipart.MultipartFileResource, fieldName : resource] with root cause
java.io.FileNotFoundException: MultipartFile resource [file] cannot be resolved to absolute file path
	at org.springframework.core.io.AbstractResource.getFile(AbstractResource.java:138)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:498)
	at com.alibaba.fastjson.util.FieldInfo.get(FieldInfo.java:571)
	at com.alibaba.fastjson.serializer.FieldSerializer.getPropertyValueDirect(FieldSerializer.java:143)
	at com.alibaba.fastjson.serializer.JavaBeanSerializer.write(JavaBeanSerializer.java:284)
	at com.alibaba.fastjson.serializer.JavaBeanSerializer.write(JavaBeanSerializer.java:154)
	at com.alibaba.fastjson.serializer.FieldSerializer.writeValue(FieldSerializer.java:318)
	at com.alibaba.fastjson.serializer.JavaBeanSerializer.write(JavaBeanSerializer.java:472)
	at com.alibaba.fastjson.serializer.JavaBeanSerializer.write(JavaBeanSerializer.java:154)
	at com.alibaba.fastjson.serializer.JSONSerializer.writeWithFieldName(JSONSerializer.java:360)
	at com.alibaba.fastjson.serializer.JSONSerializer.writeWithFieldName(JSONSerializer.java:338)
	at com.alibaba.fastjson.serializer.ObjectArrayCodec.write(ObjectArrayCodec.java:118)
	at com.alibaba.fastjson.serializer.JSONSerializer.write(JSONSerializer.java:312)
	at com.alibaba.fastjson.JSON.toJSONString(JSON.java:793)
	at com.alibaba.fastjson.JSON.toJSONString(JSON.java:731)
	at com.alibaba.fastjson.JSON.toJSONString(JSON.java:688)
	at com.example.temp.apo.LogAspect.doBefore(LogAspect.java:20)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:498)

三、堆栈分析

  1. nested exception is com.alibaba.fastjson.JSONException: write javaBean error ,提示到fastjson序列化javaBean时出错,且后面提示class org.springframework.web.multipart.MultipartFileResource,指出MultipartFile相关。
  2. **at com.example.temp.apo.LogAspect.doBefore(LogAspect.java:20)**指明了异常所在代码位置,该行代码为:
log.info(" |---- 请求体: {}", JSON.toJSONString(joinPoint.getArgs()));

四、问题定位

基本可以断定,异常源自于JSON.toJSONString(joinPoint.getArgs()),该语句目的是为了打印接口参数信息,但【上传】接口的参数为MultipartFile file,导致fastjson序列化异常。

五、问题解决

1、思路分析

由于日志切面是公共切面,去除**JSON.toJSONString(joinPoint.getArgs())参数打印信息,属于因噎废食下下策,那么只能从【上传】文件接口入手了。
既然fastjson与MultipartFile不合,那么我们可以考虑将MultipartFile封装入一个Po对象中,并在MultipartFile属性字段上加上注解@JSONField(serialize = false)**这样一来,对于日志切面而言,【上传】
接口的参数就不是MultipartFile,而是一个自定义的普通java对象,且MultipartFile不必序列化。

2、代码实现

2-1、controller

@PostMapping(value = "/upload")
    public Object importLicense(FileParam fileParam) {

        if (fileParam == null
                || fileParam.getFile() == null
                || fileParam.getFile().isEmpty()) {
            return "上传文件不能为空";
        }
        return null;
    }

2-2、FileParam

package com.example.temp.param;

import com.alibaba.fastjson.annotation.JSONField;
import lombok.Data;
import org.springframework.web.multipart.MultipartFile;

@Data
public class FileParam {
    @JSONField(serialize = false)
    private MultipartFile file;
    private String Context;
}

六、再次调用,无异常

炉火可亲
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【组件使用问题】--使用FastJson序列化报错Could not write JSON: write javaBean error, fastjson version 1.2.62
muzi木子
01-24 2万+
调试过程中捕获的报错信息: Could not write JSON: write javaBean error, fastjson version 1.2.62, class org.springframework.web.multipart.support.StandardMultipartHttpServletRequest$StandardMultip artFile, fieldNam...
FastJson序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],...数组里面封装数组的反序列化方法,通过两个bean,进行封装
SpringBoot项目踩坑记二:Maven框架时导入的Json-lib无法转换MultipartFile类必选换成fastjson
大脑不能为空
11-22 1007
当使用原始的json-lib时,会报空对象异常的错误,起始就是转换异常了。 只要把json-lib换成阿里巴巴的fastjson就可以转换MultipartFile
MultiPartFile附件上传提示fastjson版本异常(亲测)
gb4215287的博客
09-19 1725
MultiPartFile附件上传提示fastjson版本异常
MultipartFile开发注意事项
最新发布
mmpyou的博客
06-24 234
起因是因为在对接公司内部其他部门的一个接口,因为涉及到文件服务器的存储,对方入参MultipartFile类型的文件入参,因为两个分部的服务器独立,所以也不可采用feign调用,所以有了这次的开发,开发中出现了以下的异常,故有了这篇文章来记录一下,帮助看见了的朋友避一下坑。
MultipartFile使用FastJson序列化失败
Alex的博客
05-31 2364
MultipartFile使用FastJson序列化失败 忽略掉这个MultipartFile属性 在实体类加上@JSONField(serialize = false)解决 参考: https://github.com/alibaba/fastjson/issues/3505
java接口fastjson_走进Java接口测试之fastjson指南
weixin_33443597的博客
02-17 132
引言在上文走进Java接口测试之理解JSON和XML基础我们介绍了 JSON 的基础知识,本文我们深入研究阿里巴巴的开源 JSON 解析库 fastjson。什么是fastjson?fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。截止2019...
Fastjson主要接口和类库说明
weixin_30709061的博客
10-23 89
2、主要的使用入口 FastjsonAPI入口类是com.alibaba.fastjson.JSON,常用的序列化操作都可以在JSON类上的静态方法直接完成。 publicstaticfinalObjectparse(Stringtext);//把JSON文本parse为JSONObject或者JSONArray publicstaticf...
SpringCloud 下 MultipartFile 序列化(JSON)出错的解决方案
土味儿
08-30 8303
在SpringCloud架构下,用户向客户端上传文件,客户端调用文件处理微服务去处理文件。
MultiPartFile附件上传提示fastjson版本异常
u011637753的博客
02-18 7884
SpringBoot框架使用MultiPartFile实现附件上传功能报错 MultiPartFile附件上传提示MultiPartFile版本异常 SpringBoot框架,使用AOP进行异常日志拦截,使用MultiPartFile实现附件上传功能,一直提示fastjson版本错误; 具体异常: com.alibaba.fastjson.JSONException: write javaBean error, fastjson version 1.2.73, class org.springfram
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
本篇将详细介绍如何在Spring Boot中配置Fastjson进行序列化和反序列化,以实现与Redis的高效交互。 Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化和反序列化能力,支持多种Java类型,包括...
springmvc fastjson序列化时间格式化方法(推荐)
10-20
当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中Fastjson序列化时间格式化的方法。 ### 方法一:实体类字段注解 第一种情况...
fastjson和jackson序列化数据的区别
12-21
fastjson和jackson序列化数据的区别直奔主题一言不合就上代码注意 直奔主题 1、fastjson将字符串反序列化为对象时,只会处理第一层,内部会序列化为JsonObject或者JsonArray,使用二级结构和三级结构时还要再次处理...
fastjson序列化利用
09-29
“本工具仅能在取得足够合法授权的企业安全建设中使用,在使用本工具过程中,您应确保自己所有行为符合当地的法律法规。 如您在使用本工具的过程中存在任何非法行为,您将自行承担所有后果,本工具所有开发者和所有...
Dubbo调用之MultipartFile无法序列化问题
wangxx的博客
02-27 1072
Dubbo调用传输的必须是序列化(implements Serializable)的,MultipartFile类型无法序列化,所以报错。
使用fastjson错误
qq_42108331的博客
07-26 1348
使用fastjson错误
FastJSON序列化HttpServletResponse报错has already been called for this response及Stream not in async mode问题
lonelymanontheway的博客
05-03 1279
getOutputStream() has already been called for this response; UT010034: Stream not in async mode
fastJson解析复杂对象时碰到的问题
12-21 454
碰到map对象无法解析出来,发现问题是缺少有get/set方法,否则无法解析。 对象转json字符串 JSON.toJSONString(module) json字符串转对象(必须是pojo) module = JSON.parseObject(content, new TypeReference<RequestModule>() {}); 转载于:https://...
fastjson序列化漏洞
07-25
Fastjson是一款流行的Java JSON库,用于序列化和反序列化Java对象和JSON数据。在Fastjson 1.2.24及之前的版本中存在一个安全漏洞,被称为Fastjson序列化漏洞(Fastjson Deserialization Vulnerability)或Fastjson序列化漏洞。 该漏洞的主要原因是Fastjson在反序列化过程中存在一些不安全的默认行为,可能导致恶意攻击者利用特制的JSON数据触发远程代码执行。攻击者可以构造恶意JSON数据,利用漏洞触发任意代码执行、命令执行、远程命令执行等攻击。 Fastjson团队在发现漏洞后迅速发布了修复版本,并建议所有使用Fastjson的开发者升级到最新版本以解决安全问题。此外,开发者还可以采取以下措施来防止Fastjson序列化漏洞的利用: 1. 及时升级:确保使用的Fastjson版本是修复了该漏洞的最新版本。 2. 输入验证:在接收JSON数据并进行反序列化之前,对输入进行严格验证和过滤,确保只接受可信任的数据。 3. 白名单机制:限制反序列化过程中可以实例化的类和调用的方法,使用白名单机制来控制允许的操作。 4. 安全配置:通过配置Fastjson的ParserConfig,禁用自动类型识别(autoTypeSupport)或限制白名单(setAccept)等来增强安全性。 总结而言,Fastjson序列化漏洞是由于Fastjson在反序列化过程中的不安全默认行为导致的安全问题。及时升级Fastjson版本、输入验证、白名单机制和安全配置等措施可以帮助防止该漏洞的利用。 请注意,本回答仅涉及Fastjson序列化漏洞的概述,具体防范措施可能因应用场景和需求而有所不同。建议在实际开发中仔细研究并采取适合的安全措施来保护应用程序免受潜在攻击。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值