json-lib 之jsonConfig详细使用(转载写的不错)
=========================== Java To Json =============================
一,setCycleDetectionStrategy 防止自包含
- /**
- * 这里测试如果含有自包含的时候需要CycleDetectionStrategy
- */
- public static void testCycleObject() {
- CycleObject object = new CycleObject();
- object.setMemberId("yajuntest");
- object.setSex("male");
- JsonConfig jsonConfig = new JsonConfig();
- jsonConfig.setCycleDetectionStrategy(CycleDetectionStrategy.LENIENT);
- JSONObject json = JSONObject.fromObject(object, jsonConfig);
- System.out.println(json);
- }
- public static void main(String[] args) {
- JsonTest.testCycleObject();
- }
其中 CycleObject.java是我自己写的一个类:
- public class CycleObject {
- private String memberId;
- private String sex;
- private CycleObject me = this;
- …… // getters && setters
- }
输出 {"sex":"male","memberId":"yajuntest","me":null}
二,setExcludes:排除需要序列化成json的属性
- public static void testExcludeProperites() {
- String str = "{'string':'JSON', 'integer': 1, 'double': 2.0, 'boolean': true}";
- JsonConfig jsonConfig = new JsonConfig();
- jsonConfig.setExcludes(new String[] { "double", "boolean" });
- JSONObject jsonObject = (JSONObject) JSONSerializer.toJSON(str, jsonConfig);
- System.out.println(jsonObject.getString("string"));
- System.out.println(jsonObject.getInt("integer"));
- System.out.println(jsonObject.has("double"));
- System.out.println(jsonObject.has("boolean"));
- }
- public static void main(String[] args) {
- JsonTest.testExcludeProperites();
- }
三,setIgnoreDefaultExcludes
- @SuppressWarnings("unchecked")
- public static void testMap() {
- Map map = new HashMap();
- map.put("name", "json");
- map.put("class", "ddd");
- JsonConfig config = new JsonConfig();
- config.setIgnoreDefaultExcludes(true); //默认为false,即过滤默认的key
- JSONObject jsonObject = JSONObject.fromObject(map,config);
- System.out.println(jsonObject);
- }
上面的代码会把name 和 class都输出。
而去掉setIgnoreDefaultExcludes(true)的话,就只会输出name,不会输出class。
- private static final String[] DEFAULT_EXCLUDES = new String[] { "class", "declaringClass",
- "metaClass" }; // 默认会过滤的几个key
四,registerJsonBeanProcessor 当value类型是从java的一个bean转化过来的时候,可以提供自定义处理器
- public static void testMap() {
- Map map = new HashMap();
- map.put("name", "json");
- map.put("class", "ddd");
- map.put("date", new Date());
- JsonConfig config = new JsonConfig();
- config.setIgnoreDefaultExcludes(false);
- config.registerJsonBeanProcessor(Date.class,
- new JsDateJsonBeanProcessor()); // 当输出时间格式时,采用和JS兼容的格式输出
- JSONObject jsonObject = JSONObject.fromObject(map, config);
- System.out.println(jsonObject);
- }
注:JsDateJsonBeanProcessor 是json-lib已经提供的类,我们也可以实现自己的JsonBeanProcessor。
五,registerJsonValueProcessor
六,registerDefaultValueProcessor
为了演示,首先我自己实现了两个 Processor
一个针对Integer
- public class MyDefaultIntegerValueProcessor implements DefaultValueProcessor {
- public Object getDefaultValue(Class type) {
- if (type != null && Integer.class.isAssignableFrom(type)) {
- return Integer.valueOf(9999);
- }
- return JSONNull.getInstance();
- }
- }
一个针对PlainObject(我自定义的类)
- public class MyPlainObjectProcessor implements DefaultValueProcessor {
- public Object getDefaultValue(Class type) {
- if (type != null && PlainObject.class.isAssignableFrom(type)) {
- return "美女" + "瑶瑶";
- }
- return JSONNull.getInstance();
- }
- }
以上两个类用于处理当value为null的时候该如何输出。
还准备了两个普通的自定义bean
PlainObjectHolder:
- public class PlainObjectHolder {
- private PlainObject object; // 自定义类型
- private Integer a; // JDK自带的类型
- public PlainObject getObject() {
- return object;
- }
- public void setObject(PlainObject object) {
- this.object = object;
- }
- public Integer getA() {
- return a;
- }
- public void setA(Integer a) {
- this.a = a;
- }
- }
PlainObject 也是我自己定义的类
- public class PlainObject {
- private String memberId;
- private String sex;
- public String getMemberId() {
- return memberId;
- }
- public void setMemberId(String memberId) {
- this.memberId = memberId;
- }
- public String getSex() {
- return sex;
- }
- public void setSex(String sex) {
- this.sex = sex;
- }
- }
A,如果JSONObject.fromObject(null) 这个参数直接传null进去,json-lib会怎么处理:
- public static JSONObject fromObject( Object object, JsonConfig jsonConfig ) {
- if( object == null || JSONUtils.isNull( object ) ){
- return new JSONObject( true );
public static JSONObject fromObject( Object object, JsonConfig jsonConfig ) {
if( object == null || JSONUtils.isNull( object ) ){
return new JSONObject( true );
看代码是直接返回了一个空的JSONObject,没有用到任何默认值输出。
B,其次,我们看如果java对象直接是一个JDK中已经有的类(什么指 Enum,Annotation,JSONObject,DynaBean,JSONTokener,JSONString,Map,String,Number,Array),但是值为null ,json-lib如何处理
JSONObject.java
- }else if( object instanceof Enum ){
- throw new JSONException( "'object' is an Enum. Use JSONArray instead" ); // 不支持枚举
- }else if( object instanceof Annotation || (object != null && object.getClass()
- .isAnnotation()) ){
- throw new JSONException( "'object' is an Annotation." ); // 不支持 注解
- }else if( object instanceof JSONObject ){
- return _fromJSONObject( (JSONObject) object, jsonConfig );
- }else if( object instanceof DynaBean ){
- return _fromDynaBean( (DynaBean) object, jsonConfig );
- }else if( object instanceof JSONTokener ){
- return _fromJSONTokener( (JSONTokener) object, jsonConfig );
- }else if( object instanceof JSONString ){
- return _fromJSONString( (JSONString) object, jsonConfig );
- }else if( object instanceof Map ){
- return _fromMap( (Map) object, jsonConfig );
- }else if( object instanceof String ){
- return _fromString( (String) object, jsonConfig );
- }else if( JSONUtils.isNumber( object ) || JSONUtils.isBoolean( object )
- || JSONUtils.isString( object ) ){
- return new JSONObject(); // 不支持纯数字
- }else if( JSONUtils.isArray( object ) ){
- throw new JSONException( "'object' is an array. Use JSONArray instead" ); //不支持数组,需要用JSONArray替代
- }else{
根据以上代码,主要发现_fromMap是不支持使用DefaultValueProcessor 的。
原因看代码:
JSONObject.java
- if( value != null ){ //大的前提条件,value不为空
- JsonValueProcessor jsonValueProcessor = jsonConfig.findJsonValueProcessor(
- value.getClass(), key );
- if( jsonValueProcessor != null ){
- value = jsonValueProcessor.processObjectValue( key, value, jsonConfig );
- if( !JsonVerifier.isValidJsonValue( value ) ){
- throw new JSONException( "Value is not a valid JSON value. " + value );
- }
- }
- setValue( jsonObject, key, value, value.getClass(), jsonConfig );
- private static void setValue( JSONObject jsonObject, String key, Object value, Class type,
- JsonConfig jsonConfig ) {
- boolean accumulated = false;
- if( value == null ){ // 当 value为空的时候使用DefaultValueProcessor
- value = jsonConfig.findDefaultValueProcessor( type )
- .getDefaultValue( type );
- if( !JsonVerifier.isValidJsonValue( value ) ){
- throw new JSONException( "Value is not a valid JSON value. " + value );
- }
- }
- ……
根据我的注释, 上面的代码显然是存在矛盾。
_fromDynaBean是支持DefaultValueProcessor的和下面的C是一样的。
C,我们看如果 java 对象是自定义类型的,并且里面的属性包含空值(没赋值,默认是null)也就是上面B还没贴出来的最后一个else
- else {return _fromBean( object, jsonConfig );}
我写了个测试类:
- public static void testDefaultValueProcessor() {
- PlainObjectHolder holder = new PlainObjectHolder();
- JsonConfig config = new JsonConfig();
- config.registerDefaultValueProcessor(PlainObject.class,
- new MyPlainObjectProcessor());
- config.registerDefaultValueProcessor(Integer.class,
- new MyDefaultIntegerValueProcessor());
- JSONObject json = JSONObject.fromObject(holder, config);
- System.out.println(json);
- }
这种情况的输出值是 {"a":9999,"object":"美女瑶瑶"}
即两个Processor都起作用了。
========================== Json To Java ===============
一,ignoreDefaultExcludes
- public static void json2java() {
- String jsonString = "{'name':'hello','class':'ddd'}";
- JsonConfig config = new JsonConfig();
- config.setIgnoreDefaultExcludes(true); // 与JAVA To Json的时候一样,不设置class属性无法输出
- JSONObject json = (JSONObject) JSONSerializer.toJSON(jsonString,config);
- System.out.println(json);
- }
========================== JSON 输出的安全问题 ===============
我们做程序的时候主要是使用 Java To Json的方式,下面描述的是 安全性问题:
- @SuppressWarnings("unchecked")
- public static void testSecurity() {
- Map map = new HashMap();
- map.put("\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {", "");
- JSONObject jsonObject = JSONObject.fromObject(map);
- System.out.println(jsonObject);
- }
- public static void main(String[] args) {
- JsonTest.testSecurity();
- }
输出的内容:
{"\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {":"" } |
如果把这段内容直接贴到记事本里面,命名为 testSecu.html ,然后用浏览器打开发现执行了其中的 js脚本。这样就容易产生XSS安全问题。
json-lib 之jsonConfig详细使用(转载写的不错)的更多相关文章
- JSON lib 里JsonConfig详解
一,setCycleDetectionStrategy 防止自包含 /** * 这里测试如果含有自包含的时候需要CycleDetectionStrategy */ public static void ...
- 使用JsonConfig控制JSON lib序列化
将对象转换成字符串,是非常常用的功能,尤其在WEB应用中,使用 JSON lib 能够便捷地完成这项工作.JSON lib能够将Java对象转成json格式的字符串,也可以将Java对象转换成xml格 ...
- Atitit.json类库的设计与实现 ati json lib
Atitit.json类库的设计与实现 ati json lib 1. 目前jsonlib库可能有问题,可能版本冲突,抛出ex1 2. 解决之道:1 2.1. 自定义json解析库,使用多个复合的js ...
- Json lib集成stucts2的使用方法 抛出 NestableRuntimeException异常的解决办法
首先贴出struts 2.3.16需要导入的包 因为使用的是2.3 版本,必须要导入这个包,否则会报java.lang.NoClassDefFoundError: org/apache/commons ...
- C# json反序列化 对象中嵌套数组 (转载) 可能会导致循环或多重级联路径。请指定 ON DELETE NO ACTION 或 ON UPDATE NO ACTION,或修改其他 FOREIGN KEY 约束。
C# json反序列化 对象中嵌套数组 (转载) 看图: 这里可以看到是二层嵌套!!使用C#如何实现?? 思路:使用list集合实现 → 建立类 → list集合 → 微软的 Newtonso ...
- 关于Spring MVC写的不错的几篇博客
关于Spring MVC写的不错的几篇博客 https://my.oschina.net/kolbe/blog/509810 https://www.cnblogs.com/sunniest/p/45 ...
- Linux各目录及每个目录的详细介绍(转载)
[常见目录说明] 目录 /bin 存放二进制可执行文件(ls,cat,mkdir等),常用命令一般都在这里. /etc 存放系统管理和配置文件 /home 存放所有用户文件的根目录,是用户主目录的基点 ...
- python正则表达式re模块详细介绍--转载
本模块提供了和Perl里的正则表达式类似的功能,不关是正则表达式本身还是被搜索的字符串,都可以是Unicode字符,这点不用担心,python会处理地和Ascii字符一样漂亮. 正则表达式使用反斜杆( ...
- 使用Varnish代替Squid做网站缓存加速器的详细解决方案----转载
[文章作者:张宴 本文版本:v1.2 最后修改:2008.01.02 转载请注明出处:http://blog.s135.com] 我曾经写过一篇文章──<初步试用Squid的替代产品──Varn ...
随机推荐
- oracle表空间维护常用命令
---查看表空间的名字及文件所在位置: select tablespace_name, file_id, file_name,round(bytes/(1024*1024),0) total_spac ...
- 浅谈Trie
所谓\(Trie\)就是字典树. 何为字典树?想象一下我们平时用拼音查字法在字典树查汉字的时候,一位一位确定这个汉字的拼音从而翻到我们想要看的那一面. 所以\(Trie\)树跟字典一样,是一种逐位检索 ...
- c++里面有没有什么办法做到 判断某个给定的未知数是double类型还是int类型 呢?
c++里面有没有什么办法做到 判断某个给定的未知数是double类型还是int类型 呢? 如果只是double和int, 可以用sizeof 1 2 3 4 5 6 7 8 9 10 11 12 13 ...
- JAVA Debug 调试代码
JAVA Debug 调试代码 1.什么时候使用Debug: 程序的运行结果,与你的预期结果不同时,Debug的目的是找错误,而不是该错误: 2.早期调试代码的方式就是打桩: System.out.p ...
- 如何配置Python环境
(1) 下载:请在Python官网下载页面(https://www.python.org/downloads/)选择合适的版本(建议选择3.5.2版)的链接,在该版本的下载页面选择合适的安装文件:64 ...
- 【转】用JMeter来测试Tomcat的性能
JMeter是Apache组织的开放源代码项目,它是功能和性能测试的工具,100%的用java实现,最新的版本是1.9.1,大家可以到http://jakarta.apache.org/jmeter/ ...
- [Java][Web]Response学习
// 在 http 中,meta 标签可以模拟响应头 response.setHeader("Content-type", "text/html;charset=UTF- ...
- JavaScript 数组some()和filter()
some方法 array1.some(callbackfn[, thisArg]) 对数组array1中的每个元素调用回调函数callbackfn,当回调函数返回true或者遍历完所有数组后,so ...
- canvas之画一条线段
var canvas=document.getElementById("canvas"); //设置绘图环境 var cxt=canvas.getContext('2d'); // ...
- Druid.io系列(八):部署
介绍 前面几个章节对Druid的整体架构做了简单的说明,本文主要描述如何部署Druid的环境 Imply提供了一套完整的部署方式,包括依赖库,Druid,图形化的数据展示页面,SQL查询组件等.本文将 ...