FastJson序列化导致的 “$ref“

已于 2023-05-05 17:47:23 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: 点滴记录 文章标签: java servlet jvm
于 2023-05-05 17:37:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhujiangtaotaise/article/details/130511180
版权
文章讲述了在后端开发中遇到的FastJson序列化时处理循环引用的问题,通过示例展示了当对象在JSON中重复出现时,FastJson会使用$ref表示引用。解决方法是避免直接赋值,而是通过复制对象属性来处理。即使不修改,反序列化也能得到正确对象,但作者仍建议了解这一特性以防止未来问题。
摘要由CSDN通过智能技术生成

前言:

刚转后端没多久,在通过RPC调用其他组的服务的时候,其他组对接的同学说,你的入参是有问题的,然后他把入参发我,类似于下面的 json

{
	"addressMO": {
		"roomNumber": "1002",
		"street": "上海市徐汇区田林街道"
	},
	"age": 10,
	"brotherMO": {
		"addressMO": {
			"$ref": "$.addressMO"
		},
		"className": "上海中学",
		"name": "我是哥哥"
	},
	"name": "我是弟弟"
}

这个对象包含一个 addressMObrotherMO以及 nameagebrotherMO 中也包含了addressMO,就会导致 出现上面的 "$ref": "$.addressMO",这个其实表示的是引用根目录中的 addressMO 对象。

这个例子其实是我简化后的 demo,为了简单说明。其他的 对象如下:

public static class PersonMO {
        private String name;
        private int age;
        private AddressMO addressMO;
        private BrotherMO brotherMO;

        public String getName() {
            return name;
        }

        public void setName(String name) {
            this.name = name;
        }

        public int getAge() {
            return age;
        }

        public void setAge(int age) {
            this.age = age;
        }

        public AddressMO getAddressMO() {
            return addressMO;
        }

        public void setAddressMO(AddressMO addressMO) {
            this.addressMO = addressMO;
        }

        public BrotherMO getBrotherMO() {
            return brotherMO;
        }

        public void setBrotherMO(BrotherMO brotherMO) {
            this.brotherMO = brotherMO;
        }
    }

    public static class AddressMO {
        private String street;
        private String roomNumber;

        public String getStreet() {
            return street;
        }

        public void setStreet(String street) {
            this.street = street;
        }

        public String getRoomNumber() {
            return roomNumber;
        }

        public void setRoomNumber(String roomNumber) {
            this.roomNumber = roomNumber;
        }
    }

    public static class BrotherMO {
        private String name;
        private String className;
        private AddressMO addressMO;

        public String getName() {
            return name;
        }

        public void setName(String name) {
            this.name = name;
        }

        public String getClassName() {
            return className;
        }

        public void setClassName(String className) {
            this.className = className;
        }

        public AddressMO getAddressMO() {
            return addressMO;
        }

        public void setAddressMO(AddressMO addressMO) {
            this.addressMO = addressMO;
        }
    }

测试代码如下:

 @Test
    public void testJSON() {
        AddressMO addressMO = new AddressMO();
        addressMO.setStreet("上海市徐汇区田林街道");
        addressMO.setRoomNumber("1002");


        BrotherMO brotherMO = new BrotherMO();
        brotherMO.setName("我是哥哥");
        brotherMO.setAddressMO(addressMO);
        brotherMO.setClassName("上海中学");

        PersonMO personMO = new PersonMO();
        personMO.setName("我是弟弟");
        personMO.setAge(10);
        personMO.setAddressMO(addressMO);
        personMO.setBrotherMO(brotherMO);

        String ss = JSON.toJSONString(personMO);
        System.out.println("ss ===== " +ss);
    }

可以看到,对于一个对象,当其首次出现时,FastJson 的序列化是正常工作的,但是当其重复出现时,就会变为对象的引用。这是FastJson内部存在一些特殊逻辑,问题产生的原因在于FastJson存在循环/重复引用检测特性,并且该特性是缺省开启的。
实体转化为json字符串后出现了$ref字样的东西,这是因为在传输的数据中出现相同的对象时,fastjson 默认开启引用检测将相同的对象写成引用的形式,引用是通过"$ref"来表示的。

在这里插入图片描述
修改也很简单,就是在 BrotherMO 中设置 AddressMO 对象是,通过 Copy AddressMO 对象的属性就行了,如下:
在这里插入图片描述
就能正常输出了,其中的 DozerBeanMapper 是开源库,用来复制对象属性的。

{
	"addressMO": {
		"roomNumber": "1002",
		"street": "上海市徐汇区田林街道"
	},
	"age": 10,
	"brotherMO": {
		"addressMO": {
			"roomNumber": "1002",
			"street": "上海市徐汇区田林街道"
		},
		"className": "上海中学",
		"name": "我是哥哥"
	},
	"name": "我是弟弟"
}

其实不改也是没问题的,通过反序列化出来的 PersonMO 对象都是正常的。
在这里插入图片描述
刚开始,其他同事跟我说的时候我是很懵逼的,完全不知道,因为我调用他的服务之前是加了日志的,都是正常的,但是同事说的是这个服务上线2年多了,肯定不是他们的问题,哈哈,然后 google 了下,记录下,怕自己会忘记。

小猪快跑22
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
FastJSON序列化报 `“$ref
creaylei的小花园
12-14 659
FastJSON序列化报 `"$ref"
FastJson序列化时候出现了$ref?还不赶紧学习下
Java碎碎念
01-16 2142
最近在使用fastjson时候遇到一个问题,后台的数据转化为json字符串后发送到前端时候出现了$ref字样的东西,后来明白了这是引用,下面详细介绍下。 一、一个简单的例子 先来上一段代码,运行后打印的结果可能出乎意料,代码如下: @org.junit.Test public void testFastJson() { Map<String, Object> dataM...
Fastjson出现$ref问题
m0_47649585的博客
02-24 2450
Fastjson出现$ref问题
FastJson详解
最新发布
从基础到源码解析的学习记录
07-15 6901
FastJson 是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。Fastjson 的优点速度快fastjson相对其他JSON库的特点是快从2011年fastjson发布1.1.x版本之后,其性能从未被其他Java实现的JSON库超越使用广泛fastjson在阿里巴巴大规模使用,在数万台服务器上部署,fastjson在业界被广泛接受。
fastjson序列化的结果出现$ref的问题
一夜飘零
11-17 935
关于打印出来里面含有$ref的问题,在将JSONObject 的数据进行输出时,往往里面有$ref
FastJson 序列化出现"$ref"问题研究
weixin_34019144的博客
04-20 750
今天在测试微信公众号创建自定义菜单时,需要向微信的接口发送一段嵌套的json数据,在用FastJson对对象进行序列化时,发现出来的json字符串中始终存在"$ref",具体示例如下: Map<String,Object> cbtMap = new HashMap<>(); cbtMap.put("key", "image"); ...
fastjson序列化的结果出现$ref/$.object
燕少江湖
01-13 1010
案例:{"xiaoMing":{"courses":{"English":"English","Chinese":"English","Mathematics":"Mathematics"},"studentNo":"0001"},"xiaoHua":{"courses":{"$ref":"$.xiaoMing.courses"},"studentNo":"0002"}} 原因:一个对象被重复引用,fastjson默认开启循环引用检查,所以序列化结果会出现($ref. $.),来标注被重复引用的对象。
解决FastJson中"$ref重复引用"的问题方法
10-17
在使用FastJson进行对象序列化成JSON字符串时,可能会遇到“$ref重复引用”的问题,这是由于FastJson在进行序列化过程中,为了优化性能和内存使用,会把相同的对象引用只序列化一次,并通过特殊的引用标签(如$ref)...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中Fastjson反序列化时间格式化的方法。 ### 方法一:实体类字段注解 第一种情况...
SpringBoot Redis配置Fastjson进行序列化反序列化实现
10-16
本篇将详细介绍如何在Spring Boot中配置Fastjson进行序列化反序列化,以实现与Redis的高效交互。 Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化反序列化能力,支持多种Java类型,包括...
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],...数组里面封装数组的反序列化方法,通过两个bean,进行封装
FastJson处理$ref的js类库 FastJson-1.0.min.js
05-10
当项目中使用了fastjson框架转换json字符串后,默认情况下会有$ref这样的引用方式。 如果不使用此引用,在重复嵌套时,可能会耗尽系统资源。 但是如果启用的话,在页面js中又无法正常使用。 现只需要引入此js文件,...
FastJson序列化时“$ref“:“$.a.b“的解决方法
qq_1411的博客
06-10 1539
fastjson序列化重复引用对象或循环引用对象处理方法
fastjson 返回 $ref 数据
持之以恒
03-08 810
序列化结果中,出现了 $ref 这类引用信息,首先猜测是由于某些规则的限制导致
阿里fastjson 转换string/toJsonString出现 会出现$ref 的问题
06-18 1597
如果不需要转义,可以使用这个属性。SkipTransientField 如果是true,类中的Get方法对应的Field是transient,序列化时将会被忽略。BrowserCompatible 将中文都会序列化为\uXXXX格式,字节数会多一些,但是能兼容IE 6,默认为false。WriteNullBooleanAsFalse Boolean字段如果为null,输出为false,而非null。可以向上面的代码一样,创建新的对象,把要有重复需要的对象的属性复制给新对象,新对象再添加到json那里。
json序列化循环引用问题-序列化字符串中包含 $ref问题
抠脚的汉子
09-30 1496
问题: 使用fastJson将对象转换成字符串,发现转换后的字符串中包含 $ref字符: 实体类: class Car{ private String name; private String color; public Car(String name, String color) { this.name = name; ...
Json重复引用或循环引用产生的序列化问题“$ref
qq_43675961的博客
03-03 4643
一、问题现象 如果前端展示数据需要依赖于此处的数据,则会造成前端的展示问题 二、问题原因 1.重复引用:因为引用同一对象而导致的重复引用,具体例子见如下: Map map = new HashMap<>(); map.put(7,7); List<Map> list3 = new ArrayList(); list3.add(map); list3.add(map); String str = JSON.toJSONString(list3); System.out
解决fastjson内存对象重复/循环引用json错误
不骄不躁,磨砥刻厉
03-28 814
什么是重复/循环引用简单说,重复引用就是一个集合/对象中的多个元素/属性同时引用同一对象,循环引用就是集合/对象中的多个元素/属性存在相互引用导致循环。举例说明重复引用[html] view plain copyList&lt;Object&gt; list = new ArrayList&lt;&gt;();  Object obj = new Object();  list.add(obj);...
Fastjson的$ref
D_A_I_H_A_O的博客
01-03 775
转化为`json`字符串后出现了`$ref`字样的东西,这是因为在传输的数据中出现相同的对象时,`fastjson`默认开启引用检测将相同的对象写成引用的形式 默认开启引用检测将相同的对象写成引用的形式。
fastjson序列化漏洞
07-25
Fastjson是一款流行的Java JSON库,用于序列化反序列化Java对象和JSON数据。在Fastjson 1.2.24及之前的版本中存在一个安全漏洞,被称为Fastjson序列化漏洞(Fastjson Deserialization Vulnerability)或Fastjson反序列化漏洞。 该漏洞的主要原因是Fastjson反序列化过程中存在一些不安全的默认行为,可能导致恶意攻击者利用特制的JSON数据触发远程代码执行。攻击者可以构造恶意JSON数据,利用漏洞触发任意代码执行、命令执行、远程命令执行等攻击。 Fastjson团队在发现漏洞后迅速发布了修复版本,并建议所有使用Fastjson的开发者升级到最新版本以解决安全问题。此外,开发者还可以采取以下措施来防止Fastjson序列化漏洞的利用: 1. 及时升级:确保使用的Fastjson版本是修复了该漏洞的最新版本。 2. 输入验证:在接收JSON数据并进行反序列化之前,对输入进行严格验证和过滤,确保只接受可信任的数据。 3. 白名单机制:限制反序列化过程中可以实例化的类和调用的方法,使用白名单机制来控制允许的操作。 4. 安全配置:通过配置Fastjson的ParserConfig,禁用自动类型识别(autoTypeSupport)或限制白名单(setAccept)等来增强安全性。 总结而言,Fastjson序列化漏洞是由于Fastjson反序列化过程中的不安全默认行为导致的安全问题。及时升级Fastjson版本、输入验证、白名单机制和安全配置等措施可以帮助防止该漏洞的利用。 请注意,本回答仅涉及Fastjson序列化漏洞的概述,具体防范措施可能因应用场景和需求而有所不同。建议在实际开发中仔细研究并采取适合的安全措施来保护应用程序免受潜在攻击。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值