=========================== Java To Json =============================

一,setCycleDetectionStrategy 防止自包含

  1. /**
  2. * 这里测试如果含有自包含的时候需要CycleDetectionStrategy
  3. */
  4. public static void testCycleObject() {
  5. CycleObject object = new CycleObject();
  6. object.setMemberId("yajuntest");
  7. object.setSex("male");
  8. JsonConfig jsonConfig = new JsonConfig();
  9. jsonConfig.setCycleDetectionStrategy(CycleDetectionStrategy.LENIENT);
  10. JSONObject json = JSONObject.fromObject(object, jsonConfig);
  11. System.out.println(json);
  12. }
  13. public static void main(String[] args) {
  14. JsonTest.testCycleObject();
  15. }

其中 CycleObject.java是我自己写的一个类:

  1. public class CycleObject {
  2. private String      memberId;
  3. private String      sex;
  4. private CycleObject me = this;
  5. …… // getters && setters
  6. }


输出 {"sex":"male","memberId":"yajuntest","me":null}


二,setExcludes:排除需要序列化成json的属性




  1. public static void testExcludeProperites() {
    2. 

  2. String str = "{'string':'JSON', 'integer': 1, 'double': 2.0, 'boolean': true}";
    3. 

  3. JsonConfig jsonConfig = new JsonConfig();
    4. 

  4. jsonConfig.setExcludes(new String[] { "double", "boolean" });
    5. 

  5. JSONObject jsonObject = (JSONObject) JSONSerializer.toJSON(str, jsonConfig);
    6. 

  6. System.out.println(jsonObject.getString("string"));
    7. 

  7. System.out.println(jsonObject.getInt("integer"));
    8. 

  8. System.out.println(jsonObject.has("double"));
    9. 

  9. System.out.println(jsonObject.has("boolean"));
    10. 

  10. }
    11. 

  11. public static void main(String[] args) {
    12. 

  12. JsonTest.testExcludeProperites();
    13. 

  13. }






三,setIgnoreDefaultExcludes




  1. @SuppressWarnings("unchecked")
    2. 

  2. public static void testMap() {
    3. 

  3. Map map = new HashMap();
    4. 

  4. map.put("name", "json");
    5. 

  5. map.put("class", "ddd");
    6. 

  6. JsonConfig config = new JsonConfig();
    7. 

  7. config.setIgnoreDefaultExcludes(true);  //默认为false,即过滤默认的key
    8. 

  8. JSONObject jsonObject = JSONObject.fromObject(map,config);
    9. 

  9. System.out.println(jsonObject);
    10. 

  10. }






上面的代码会把name 和 class都输出。


而去掉setIgnoreDefaultExcludes(true)的话,就只会输出name,不会输出class。




  1. private static final String[] DEFAULT_EXCLUDES = new String[] { "class", "declaringClass",
    2. 

  2. "metaClass" }; // 默认会过滤的几个key




   


四,registerJsonBeanProcessor 当value类型是从java的一个bean转化过来的时候,可以提供自定义处理器




  1. public static void testMap() {
    2. 

  2. Map map = new HashMap();
    3. 

  3. map.put("name", "json");
    4. 

  4. map.put("class", "ddd");
    5. 

  5. map.put("date", new Date());
    6. 

  6. JsonConfig config = new JsonConfig();
    7. 

  7. config.setIgnoreDefaultExcludes(false);
    8. 

  8. config.registerJsonBeanProcessor(Date.class,
    9. 

  9. new JsDateJsonBeanProcessor()); // 当输出时间格式时,采用和JS兼容的格式输出
    10. 

  10. JSONObject jsonObject = JSONObject.fromObject(map, config);
    11. 

  11. System.out.println(jsonObject);
    12. 

  12. }




	


注:JsDateJsonBeanProcessor 是json-lib已经提供的类,我们也可以实现自己的JsonBeanProcessor。


五,registerJsonValueProcessor


六,registerDefaultValueProcessor


为了演示,首先我自己实现了两个 Processor


一个针对Integer




  1. public class MyDefaultIntegerValueProcessor implements DefaultValueProcessor {
    2. 

  2. public Object getDefaultValue(Class type) {
    3. 

  3. if (type != null && Integer.class.isAssignableFrom(type)) {
    4. 

  4. return Integer.valueOf(9999);
    5. 

  5. }
    6. 

  6. return JSONNull.getInstance();
    7. 

  7. }
    8. 

  8. }






一个针对PlainObject(我自定义的类)




  1. public class MyPlainObjectProcessor implements DefaultValueProcessor {
    2. 

  2. public Object getDefaultValue(Class type) {
    3. 

  3. if (type != null && PlainObject.class.isAssignableFrom(type)) {
    4. 

  4. return "美女" + "瑶瑶";
    5. 

  5. }
    6. 

  6. return JSONNull.getInstance();
    7. 

  7. }
    8. 

  8. }






以上两个类用于处理当value为null的时候该如何输出。


还准备了两个普通的自定义bean


PlainObjectHolder:




  1. public class PlainObjectHolder {
    2. 

  2. private PlainObject object; // 自定义类型
    3. 

  3. private Integer a; // JDK自带的类型
    4. 

  4. public PlainObject getObject() {
    5. 

  5. return object;
    6. 

  6. }
    7. 

  7. public void setObject(PlainObject object) {
    8. 

  8. this.object = object;
    9. 

  9. }
    10. 

  10. public Integer getA() {
    11. 

  11. return a;
    12. 

  12. }
    13. 

  13. public void setA(Integer a) {
    14. 

  14. this.a = a;
    15. 

  15. }
    16. 

  16. }






PlainObject 也是我自己定义的类




  1. public class PlainObject {
    2. 

  2. private String memberId;
    3. 

  3. private String sex;
    4. 

  4. public String getMemberId() {
    5. 

  5. return memberId;
    6. 

  6. }
    7. 

  7. public void setMemberId(String memberId) {
    8. 

  8. this.memberId = memberId;
    9. 

  9. }
    10. 

  10. public String getSex() {
    11. 

  11. return sex;
    12. 

  12. }
    13. 

  13. public void setSex(String sex) {
    14. 

  14. this.sex = sex;
    15. 

  15. }
    16. 

  16. }






A,如果JSONObject.fromObject(null) 这个参数直接传null进去,json-lib会怎么处理:




  1. public static JSONObject fromObject( Object object, JsonConfig jsonConfig ) {
    2. 

  2. if( object == null || JSONUtils.isNull( object ) ){
    3. 

  3. return new JSONObject( true );




 public static JSONObject fromObject( Object object, JsonConfig jsonConfig ) {

      if( object == null || JSONUtils.isNull( object ) ){

         return new JSONObject( true );


看代码是直接返回了一个空的JSONObject,没有用到任何默认值输出。


B,其次,我们看如果java对象直接是一个JDK中已经有的类(什么指 Enum,Annotation,JSONObject,DynaBean,JSONTokener,JSONString,Map,String,Number,Array),但是值为null ,json-lib如何处理


JSONObject.java




  1. }else if( object instanceof Enum ){
    2. 

  2. throw new JSONException( "'object' is an Enum. Use JSONArray instead" ); // 不支持枚举
    3. 

  3. }else if( object instanceof Annotation || (object != null && object.getClass()
    4. 

  4. .isAnnotation()) ){
    5. 

  5. throw new JSONException( "'object' is an Annotation." ); // 不支持 注解
    6. 

  6. }else if( object instanceof JSONObject ){
    7. 

  7. return _fromJSONObject( (JSONObject) object, jsonConfig );
    8. 

  8. }else if( object instanceof DynaBean ){
    9. 

  9. return _fromDynaBean( (DynaBean) object, jsonConfig );
    10. 

  10. }else if( object instanceof JSONTokener ){
    11. 

  11. return _fromJSONTokener( (JSONTokener) object, jsonConfig );
    12. 

  12. }else if( object instanceof JSONString ){
    13. 

  13. return _fromJSONString( (JSONString) object, jsonConfig );
    14. 

  14. }else if( object instanceof Map ){
    15. 

  15. return _fromMap( (Map) object, jsonConfig );
    16. 

  16. }else if( object instanceof String ){
    17. 

  17. return _fromString( (String) object, jsonConfig );
    18. 

  18. }else if( JSONUtils.isNumber( object ) || JSONUtils.isBoolean( object )
    19. 

  19. || JSONUtils.isString( object ) ){
    20. 

  20. return new JSONObject();  // 不支持纯数字
    21. 

  21. }else if( JSONUtils.isArray( object ) ){
    22. 

  22. throw new JSONException( "'object' is an array. Use JSONArray instead" ); //不支持数组,需要用JSONArray替代
    23. 

  23. }else{




 


根据以上代码,主要发现_fromMap是不支持使用DefaultValueProcessor 的。


原因看代码:


JSONObject.java




  1. if( value != null ){ //大的前提条件,value不为空
    2. 

  2. JsonValueProcessor jsonValueProcessor = jsonConfig.findJsonValueProcessor(
    3. 

  3. value.getClass(), key );
    4. 

  4. if( jsonValueProcessor != null ){
    5. 

  5. value = jsonValueProcessor.processObjectValue( key, value, jsonConfig );
    6. 

  6. if( !JsonVerifier.isValidJsonValue( value ) ){
    7. 

  7. throw new JSONException( "Value is not a valid JSON value. " + value );
    8. 

  8. }
    9. 

  9. }
    10. 

  10. setValue( jsonObject, key, value, value.getClass(), jsonConfig );








  1. private static void setValue( JSONObject jsonObject, String key, Object value, Class type,
    2. 

  2. JsonConfig jsonConfig ) {
    3. 

  3. boolean accumulated = false;
    4. 

  4. if( value == null ){ // 当 value为空的时候使用DefaultValueProcessor
    5. 

  5. value = jsonConfig.findDefaultValueProcessor( type )
    6. 

  6. .getDefaultValue( type );
    7. 

  7. if( !JsonVerifier.isValidJsonValue( value ) ){
    8. 

  8. throw new JSONException( "Value is not a valid JSON value. " + value );
    9. 

  9. }
    10. 

  10. }
    11. 

  11. ……




 


根据我的注释, 上面的代码显然是存在矛盾。


_fromDynaBean是支持DefaultValueProcessor的和下面的C是一样的。


C,我们看如果 java 对象是自定义类型的,并且里面的属性包含空值(没赋值,默认是null)也就是上面B还没贴出来的最后一个else




  1. else {return _fromBean( object, jsonConfig );}






我写了个测试类:




  1. public static void testDefaultValueProcessor() {
    2. 

  2. PlainObjectHolder holder = new PlainObjectHolder();
    3. 

  3. JsonConfig config = new JsonConfig();
    4. 

  4. config.registerDefaultValueProcessor(PlainObject.class,
    5. 

  5. new MyPlainObjectProcessor());
    6. 

  6. config.registerDefaultValueProcessor(Integer.class,
    7. 

  7. new MyDefaultIntegerValueProcessor());
    8. 

  8. JSONObject json = JSONObject.fromObject(holder, config);
    9. 

  9. System.out.println(json);
    10. 

  10. }






这种情况的输出值是 {"a":9999,"object":"美女瑶瑶"}
即两个Processor都起作用了。


========================== Json To Java ===============


一,ignoreDefaultExcludes




  1. public static void json2java() {
    2. 

  2. String jsonString = "{'name':'hello','class':'ddd'}";
    3. 

  3. JsonConfig config = new JsonConfig();
    4. 

  4. config.setIgnoreDefaultExcludes(true); // 与JAVA To Json的时候一样,不设置class属性无法输出
    5. 

  5. JSONObject json = (JSONObject) JSONSerializer.toJSON(jsonString,config);
    6. 

  6. System.out.println(json);
    7. 

  7. }






========================== JSON 输出的安全问题 ===============


我们做程序的时候主要是使用 Java To Json的方式,下面描述的是 安全性问题:




  1. @SuppressWarnings("unchecked")
    2. 

  2. public static void testSecurity() {
    3. 

  3. Map map = new HashMap();
    4. 

  4. map.put("\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {", "");
    5. 

  5. JSONObject jsonObject = JSONObject.fromObject(map);
    6. 

  6. System.out.println(jsonObject);
    7. 

  7. }









  1. public static void main(String[] args) {
    2. 

  2. JsonTest.testSecurity();
    3. 

  3. }






输出的内容:






{"\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {":"" }






如果把这段内容直接贴到记事本里面,命名为 testSecu.html ,然后用浏览器打开发现执行了其中的 js脚本。这样就容易产生XSS安全问题。


												


											
json-lib 之jsonConfig详细使用(转载写的不错)的更多相关文章
	

    
								
  1. JSON lib 里JsonConfig详解
		
    一,setCycleDetectionStrategy 防止自包含 /** * 这里测试如果含有自包含的时候需要CycleDetectionStrategy */ public static void ...
    
		
    2. 
						
  2. 使用JsonConfig控制JSON lib序列化
		
    将对象转换成字符串,是非常常用的功能,尤其在WEB应用中,使用 JSON lib 能够便捷地完成这项工作.JSON lib能够将Java对象转成json格式的字符串,也可以将Java对象转换成xml格 ...
    
		
    3. 
						
  3. Atitit.json类库的设计与实现 ati json lib
		
    Atitit.json类库的设计与实现 ati json lib 1. 目前jsonlib库可能有问题,可能版本冲突,抛出ex1 2. 解决之道:1 2.1. 自定义json解析库,使用多个复合的js ...
    
		
    4. 
						
  4. Json lib集成stucts2的使用方法    抛出 NestableRuntimeException异常的解决办法
		
    首先贴出struts 2.3.16需要导入的包 因为使用的是2.3 版本,必须要导入这个包,否则会报java.lang.NoClassDefFoundError: org/apache/commons ...
    
		
    5. 
						
  5. C# json反序列化 对象中嵌套数组 (转载)   可能会导致循环或多重级联路径。请指定 ON DELETE NO ACTION 或 ON UPDATE NO ACTION,或修改其他 FOREIGN KEY 约束。
		
    C# json反序列化 对象中嵌套数组 (转载)   看图: 这里可以看到是二层嵌套!!使用C#如何实现?? 思路:使用list集合实现 → 建立类 → list集合 → 微软的   Newtonso ...
    
		
    6. 
						
  6. 关于Spring MVC写的不错的几篇博客
		
    关于Spring MVC写的不错的几篇博客 https://my.oschina.net/kolbe/blog/509810 https://www.cnblogs.com/sunniest/p/45 ...
    
		
    7. 
						
  7. Linux各目录及每个目录的详细介绍(转载)
		
    [常见目录说明] 目录 /bin 存放二进制可执行文件(ls,cat,mkdir等),常用命令一般都在这里. /etc 存放系统管理和配置文件 /home 存放所有用户文件的根目录,是用户主目录的基点 ...
    
		
    8. 
						
  8. python正则表达式re模块详细介绍--转载
		
    本模块提供了和Perl里的正则表达式类似的功能,不关是正则表达式本身还是被搜索的字符串,都可以是Unicode字符,这点不用担心,python会处理地和Ascii字符一样漂亮. 正则表达式使用反斜杆( ...
    
		
    9. 
						
  9. 使用Varnish代替Squid做网站缓存加速器的详细解决方案----转载
		
    [文章作者:张宴 本文版本:v1.2 最后修改:2008.01.02 转载请注明出处:http://blog.s135.com] 我曾经写过一篇文章──<初步试用Squid的替代产品──Varn ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 《DSP using MATLAB》示例Example7.4
			
    代码: h = [-4, 1, -1, -2, 5, 6, 5, -2, -1, 1, -4]; M = length(h); n = 0:M-1; [Hr, w, a, L] = Hr_Type1( ...
    
			
    2. 
						
  2. 《DSP using MATLAB》示例Example7.2
			
    
			
    3. 
						
  3. modelsim仿真常用系统函数
			
    (1)$time 作用:返回所在模块的仿真时间,可以查看信号的出现的时间,用来把握信号的时序. 如:$display(''the time is %t'',$time) ;//显示当时的时间 (2)$ ...
    
			
    4. 
						
  4. Redis事务及锁应用
			
    Redis只支持简单的事务,不像mysql那样比较完整严格,对数据的完整性也维持的很好.redis的开启事务实际上只是将开启事务之后的一段命令用队列包裹起来了,当调用redis的执行命令(exec)全 ...
    
			
    5. 
						
  5. php端安装rabbitmq-c
			
    php端安装rabbitmq-c url:https://github.com/alanxz/rabbitmq-c cd rabbitmq-c**** ./configure --prefix=/us ...
    
			
    6. 
						
  6. MongoDB在windows平台分片集群部署
			
    本文转载自:https://www.cnblogs.com/hx764208769/p/4260177.html 前言-为什么我要使用mongodb 最近我公司要开发一个日志系统,这个日志系统包括很多 ...
    
			
    7. 
						
  7. github打不开问题
			
    修改host 185.31.17.184 github.global.ssl.fastly.net 207.97.227.239 http://github.com 65.74.177.129 htt ...
    
			
    8. 
						
  8. tomcat 关闭出现 Connection refused 解决方法
			
    1.找到tomcat占用的端口 ps -eaf|grep tomcat 2.杀掉tomcat进程 kill -p  6453 后记: 杀其他进程的时候,上面的方法不可以,用下面的就ok了 lsof - ...
    
			
    9. 
						
  9. [Java.Web][Servlet]常用请求头
			
    response.setStatus(302); response.setHeader("location", "/day04/1.html"); 这段代码可以 ...
    
			
    10. 
						
  10. Nginx启停
			
    启动nginx /usr/local/nginx/nginx #不指定配置文件地址/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx. ...
    
			
    11.