使用Jackson替换FastJson的一个小BUG

最新推荐文章于 2024-07-16 21:34:16 发布
最新推荐文章于 2024-07-16 21:34:16 发布
阅读量784 收藏 1
点赞数
分类专栏: FastJson Jackson ObjectMapper 文章标签: json javabean
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45682377/article/details/106555981
版权

①使用mapper去设置FAIL_ON_UNKNOWN_PROPERTIES为false,不转换不知道的字段

mapper.configure(DeserializationConfig.Feature.FAIL_ON_UNKNOWN_PROPERTIES, false);

②在要转换的Javabean上加上注解

@JsonIgnoreProperties(ignoreUnknown = true)

该注解还可以忽略指定字段,例如:

@JsonIgnoreProperties({ "internalId", "secretKey" })

忽略为null的字段的两种做法

注解
 @JsonInclude(Include.NON_NULL)

通过ObjectMapper设置

new ObjectMapper().setSerializationInclusion(Include.NON_NULL);

分割线下请忽略

在公司开发系统时使用了FastJson来转换对象和json字符串,版本为1.1.43,在一段时间后发现报错,上网一查发现阿里发布了最新公告:
公告引用如下:
安全公告20200601

近日,阿里云应急响应中心监测到fastjson爆发新的反序列化远程代码执行漏洞,黑客利用漏洞,可绕过autoType限制,直接远程执行任意命令攻击服务器,风险极大。

漏洞描述

fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击。

影响版本

fastjson <=1.2.68
fastjson sec版本 <= sec9
android版本不受此漏洞影响

这时发现我们的版本正是受波及的版本,现在面临的有两个选择
①将现有fastjson版本改至不受影响的版本;
②寻找替代品并更换fastjson。

考虑到即使升级版本以后也可能受到影响,所以选择用支持更多自主配置化的JackSon,以下就是在替换过程中遇到的一个问题。

无论是使用JackSon还是FastJson,无非是用来转换JSON字符串为对象或者转换对象为JSON字符串,但是我们使用JSON转对象的时候往往JSON数据不是那么规范,存在以下几种情况:
①JSON中有的字段在JavaBean中没有该属性
②JSON中字段值有的为null,有的又是空字符串 “”

在这次替换过程中就遇到了JSON中有的字段在JavaBean中不存在
代码如下

    public static AppUser getBody(String token) {
        String accessToken = token;
        if(token.startsWith(PREFIX)) {
            accessToken= token.replace(PREFIX, "");
        }
        try {
            Claims claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(accessToken)
                    .getBody();
            
            ObjectMapper mapper = new ObjectMapper();
            return mapper.readValue(mapper.writeValueAsString(claims), AppUser.class);
//            return JSON.parseObject(JSON.toJSONString(claims),AppUser.class);
        } catch (Exception e) {
            return null;
        }
    }

注释掉的代码为原来使用FastJson的代码,Claims是jwt包中的
有以下两种解决方式
①使用mapper去设置FAIL_ON_UNKNOWN_PROPERTIES为false,不转换不知道的字段

mapper.configure(DeserializationConfig.Feature.FAIL_ON_UNKNOWN_PROPERTIES, false);

②在要转换的Javabean上加上注解

@JsonIgnoreProperties(ignoreUnknown = true)

该注解还可以忽略指定字段,例如:

@JsonIgnoreProperties({ "internalId", "secretKey" })

忽略为null的字段的两种做法

注解
 @JsonInclude(Include.NON_NULL)

通过ObjectMapper设置
new ObjectMapper().setSerializationInclusion(Include.NON_NULL);
旧街旧巷等旧人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastjsonjackson序列化数据的区别
12-21
1、fastjson将字符串反序列化为对象时,只会处理第一层,内部会序列化为JsonObject或者JsonArray,使用二级结构和三级结构时还要再次处理, 优点就是快,特别快。 2、jackson会将深层字符串一起序列化 一言不合就上...
JSON解析相关
zonelza3的专栏
03-19 387
JSON解析相关 一、FastJSON,Gson,Jackson性能对比 参考https://blog.csdn.net/zdyueguanyun/article/details/52864777 结论: 把Java对象JSON序列化,Jackson速度最快,在测试中比Gson快接近50%,FastJSON和Gson速度接近。 把JSON反序列化成Java对象,FastJSONJackson速度接近,Gson速度稍慢,不过差距很小。 别只看性能,目前有一结构复杂的对象,用fastjson转化失败
最详细 | redis实战:JackSon/FastJson方式序列化深度解析
qq_51033936的博客
09-25 5289
Jackson2JsonRedisSerializer和FastJsonRedisSerializer的实战应用
Java学习|JSON 处理库:Gson、FastJsonJackson的比较与使用指南
最新发布
weixin_44435110的博客
07-16 1869
在Java开发中,处理JSON数据是一个常见需求。Gson、FastJsonJackson是最受欢迎的三大JSON处理库。本文将详细比较它们的特点、使用注意事项,并提供代码示例和常见面试问答,帮助开发者在不同场景下做出最优选择。
jackson替换fastjson语法糖
man6130772的博客
09-28 487
jackson替换fastjson语法糖介绍注意问题配置说明 介绍 因fastjson经常出现漏洞需要更新,但是很多工程已接入需要批量修改代码特别麻烦,所以考虑使用语法糖形式,替换jackson后操作习惯保持一致,通过批量替换import引用即可 注意问题 序列化如果对象存在递归引用的属性,会出现无限递归栈溢出的报错(JsonMappingException: Infinite recursion StackOverflowError); 非规范书写的属性fasjson可以自动识别成小驼峰(如:test
Jackson笔记
qq_35876365的博客
04-09 1694
Jackson 默认序列化和反序列化的类不能满足实际需要,可以自定义新的序列化和反序列化的类。自定义序列化类。自定义的序列化类需要直接或间接继承 StdSerializer 或 JsonSerializer,同时需要利用 JsonGenerator 生成 json,重写方法 serialize,示例如下:} }有多种 write 方法以支持生成复杂的类型的 json,比如 writeArray,writeTree 等。若想单独创建 JsonGenerator,可以通过。
jackson替换fastjson
weixin_44576697的博客
07-15 211
jackson替换fastjson 上代码 <dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-core</artifactId> <version>2.9.2</version> </dependency>
Gson,jackson,fastjson性能测试
06-15
主要针对常用的json工具Gson,jackson,fastjson进行性能测试,一个完整的工程,包含测试类、测试结论,以及三个工具包的jar文件。可以直接在eclipse中运行。具体版本如下: fastjson-1.1.28.jar gson-1.7.1.jar ...
fastjson一个小例子
11-19
**FastJson一个高效、强大的Java JSON库** FastJson是阿里巴巴开源的一款高性能的JSON库,它主要用于Java对象与JSON字符串之间的转换。在这个小例子中,我们将深入探讨FastJson使用方法,以及它如何帮助开发者...
Java 中FastJson的基本使用
10-19
这在使用Fastjson时是一个非常关键的注意事项,否则序列化和反序列化的过程都将无法正常进行。 为了演示Fastjson的基本使用,文章中给出了两个实体类的示例:Student和Teacher。这两个类都是简单JavaBean,拥有私有...
FastJson_JackSon.jar
02-23
FastJson综合工具
FastJson快速、平替、替换重写方案
GSIBin
08-15 1173
开发人员在编码过程中经常使用的到FastJson中的JSONJSONObject、JSONArray这些类中方法,但是在后期维护过程中不好维护,是不是会被爆出有漏洞问题。本文将结合现场开发工作实践,定制开发了一系列通用功能组件,这些通用功能组件整体的开发思想是“通用、实用、快速集成”,希望这些通用功能组件能够起到抛砖引玉的作用,同时也能给大家的日常工作带来方便。本文将介绍“FastJson快速替换方案”。
Jackson代替FastJson
雪落南城的博客
04-27 1573
jar包: 如果是SpringBoot工程的话,默认会引入 使用: 将jackson交给Spring管理 @Component public class JacksonObjectMapperUtil { @Bean public ObjectMapper getJacksonObjectMapper() { return new ObjectMapper(); } } 或者定义全局变量 public class JacksonUtil { publi
关于jackson的DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES
热门推荐
Willian的博客屋
12-04 2万+
博客引用处(以下内容在原有博客基础上进行补充或更改,谢谢这些大牛的博客指导): 关于jackson的DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES 1,先来了解一下DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES这个属性是什么.下面是它的API描述: Feature that determines...
jackson用法浅析
萧逸才的博客
04-08 989
对象 名称 属性1 描述1 属性2 描述2 属性3 描述3 User username 用户名 password 密码 createDate 创建时间 UserVO username 用户名 … … … … 1、DeserializationConfig.Feature.FAIL_ON_UNKNOWN_PROPERTI
ObjectMapper反序列化忽略未知字段
程序猿的博客
05-19 3844
1. 在需要反序列化的class上加上此注解 @JsonIgnoreProperties(ignoreUnknown = true) 2. 全局配置 // jackson 1.9版本之前(包括1.9) objectMapper.configure(DeserializationConfig.Feature.FAIL_ON_UNKNOWN_PROPERTIES, false); // jackson 2.x objectMapper.configure(DeserializationFeat.
Jackson替换FastJson的注意点(坑)
qq_35040959的博客
06-22 2879
Jackson替换FastJson的注意点(坑)
Jackson快速替换Fastjson之道
胡杨林
07-23 1万+
Jackson快速替换Fastjson之道 一· 概述 Fastjson已经连续几次爆出高危漏洞,和Structs一样,每次影响范围都比较广,殃及几乎所有的JAVA后台系统。为避免以后频繁地应急处理Fastjson的安全漏洞,痛定思痛,决定放弃Fastjson转投jackson的怀抱了。 二· 快速替换 2.1 加入依赖 在pom文件中添加jackson的依赖包,如下: <prop...
jacksonfastjson
08-27
jacksonfastjson都是用于处理JSON数据的Java库。它们提供了序列化和反序列化JSON数据的功能。 在序列化方面,这两个库有一些差异。fastjson默认情况下不会序列化null值,也就是说如果一个属性的值是null,在序列化后,该属性将不会出现在JSON字符串中。而jackson则默认会序列化null值,即使属性的值为null,该属性也会在JSON字符串中呈现。 两个库在序列化时也有一些其他的功能配置。例如,fastjson可以通过设置fastjson的序列化过滤器进行定制化处理,还可以美化输出JSON字符串等。而jackson可以全局配置序列化的行为,比如将驼峰命名转换为下划线命名,忽略某些属性的序列化等。 在反序列化方面,fastjsonjackson都提供了相应的功能。它们可以将JSON字符串转化为Java对象。 总结来说,jacksonfastjson都是功能强大的Java库,用于处理JSON数据。它们在序列化和反序列化方面有一些差异,并且提供了不同的配置选项来满足不同的需求。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [jacksonfastjson](https://blog.csdn.net/xuxuxux123/article/details/126625323)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [JacksonFastJson快速入门(整合SpringMVC)](https://blog.csdn.net/qq_45173404/article/details/108417438)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值