=========================== Java To Json =============================

一,setCycleDetectionStrategy 防止自包含

  1. /**
  2. * 这里测试如果含有自包含的时候需要CycleDetectionStrategy
  3. */
  4. public static void testCycleObject() {
  5. CycleObject object = new CycleObject();
  6. object.setMemberId("yajuntest");
  7. object.setSex("male");
  8. JsonConfig jsonConfig = new JsonConfig();
  9. jsonConfig.setCycleDetectionStrategy(CycleDetectionStrategy.LENIENT);
  10. JSONObject json = JSONObject.fromObject(object, jsonConfig);
  11. System.out.println(json);
  12. }
  13. public static void main(String[] args) {
  14. JsonTest.testCycleObject();
  15. }

其中 CycleObject.java是我自己写的一个类:

  1. public class CycleObject {
  2. private String      memberId;
  3. private String      sex;
  4. private CycleObject me = this;
  5. …… // getters && setters
  6. }


输出 {"sex":"male","memberId":"yajuntest","me":null}


二,setExcludes:排除需要序列化成json的属性




  1. public static void testExcludeProperites() {
    2. 

  2. String str = "{'string':'JSON', 'integer': 1, 'double': 2.0, 'boolean': true}";
    3. 

  3. JsonConfig jsonConfig = new JsonConfig();
    4. 

  4. jsonConfig.setExcludes(new String[] { "double", "boolean" });
    5. 

  5. JSONObject jsonObject = (JSONObject) JSONSerializer.toJSON(str, jsonConfig);
    6. 

  6. System.out.println(jsonObject.getString("string"));
    7. 

  7. System.out.println(jsonObject.getInt("integer"));
    8. 

  8. System.out.println(jsonObject.has("double"));
    9. 

  9. System.out.println(jsonObject.has("boolean"));
    10. 

  10. }
    11. 

  11. public static void main(String[] args) {
    12. 

  12. JsonTest.testExcludeProperites();
    13. 

  13. }






三,setIgnoreDefaultExcludes




  1. @SuppressWarnings("unchecked")
    2. 

  2. public static void testMap() {
    3. 

  3. Map map = new HashMap();
    4. 

  4. map.put("name", "json");
    5. 

  5. map.put("class", "ddd");
    6. 

  6. JsonConfig config = new JsonConfig();
    7. 

  7. config.setIgnoreDefaultExcludes(true);  //默认为false,即过滤默认的key
    8. 

  8. JSONObject jsonObject = JSONObject.fromObject(map,config);
    9. 

  9. System.out.println(jsonObject);
    10. 

  10. }






上面的代码会把name 和 class都输出。


而去掉setIgnoreDefaultExcludes(true)的话,就只会输出name,不会输出class。




  1. private static final String[] DEFAULT_EXCLUDES = new String[] { "class", "declaringClass",
    2. 

  2. "metaClass" }; // 默认会过滤的几个key




   


四,registerJsonBeanProcessor 当value类型是从java的一个bean转化过来的时候,可以提供自定义处理器




  1. public static void testMap() {
    2. 

  2. Map map = new HashMap();
    3. 

  3. map.put("name", "json");
    4. 

  4. map.put("class", "ddd");
    5. 

  5. map.put("date", new Date());
    6. 

  6. JsonConfig config = new JsonConfig();
    7. 

  7. config.setIgnoreDefaultExcludes(false);
    8. 

  8. config.registerJsonBeanProcessor(Date.class,
    9. 

  9. new JsDateJsonBeanProcessor()); // 当输出时间格式时,采用和JS兼容的格式输出
    10. 

  10. JSONObject jsonObject = JSONObject.fromObject(map, config);
    11. 

  11. System.out.println(jsonObject);
    12. 

  12. }




	


注:JsDateJsonBeanProcessor 是json-lib已经提供的类,我们也可以实现自己的JsonBeanProcessor。


五,registerJsonValueProcessor


六,registerDefaultValueProcessor


为了演示,首先我自己实现了两个 Processor


一个针对Integer




  1. public class MyDefaultIntegerValueProcessor implements DefaultValueProcessor {
    2. 

  2. public Object getDefaultValue(Class type) {
    3. 

  3. if (type != null && Integer.class.isAssignableFrom(type)) {
    4. 

  4. return Integer.valueOf(9999);
    5. 

  5. }
    6. 

  6. return JSONNull.getInstance();
    7. 

  7. }
    8. 

  8. }






一个针对PlainObject(我自定义的类)




  1. public class MyPlainObjectProcessor implements DefaultValueProcessor {
    2. 

  2. public Object getDefaultValue(Class type) {
    3. 

  3. if (type != null && PlainObject.class.isAssignableFrom(type)) {
    4. 

  4. return "美女" + "瑶瑶";
    5. 

  5. }
    6. 

  6. return JSONNull.getInstance();
    7. 

  7. }
    8. 

  8. }






以上两个类用于处理当value为null的时候该如何输出。


还准备了两个普通的自定义bean


PlainObjectHolder:




  1. public class PlainObjectHolder {
    2. 

  2. private PlainObject object; // 自定义类型
    3. 

  3. private Integer a; // JDK自带的类型
    4. 

  4. public PlainObject getObject() {
    5. 

  5. return object;
    6. 

  6. }
    7. 

  7. public void setObject(PlainObject object) {
    8. 

  8. this.object = object;
    9. 

  9. }
    10. 

  10. public Integer getA() {
    11. 

  11. return a;
    12. 

  12. }
    13. 

  13. public void setA(Integer a) {
    14. 

  14. this.a = a;
    15. 

  15. }
    16. 

  16. }






PlainObject 也是我自己定义的类




  1. public class PlainObject {
    2. 

  2. private String memberId;
    3. 

  3. private String sex;
    4. 

  4. public String getMemberId() {
    5. 

  5. return memberId;
    6. 

  6. }
    7. 

  7. public void setMemberId(String memberId) {
    8. 

  8. this.memberId = memberId;
    9. 

  9. }
    10. 

  10. public String getSex() {
    11. 

  11. return sex;
    12. 

  12. }
    13. 

  13. public void setSex(String sex) {
    14. 

  14. this.sex = sex;
    15. 

  15. }
    16. 

  16. }






A,如果JSONObject.fromObject(null) 这个参数直接传null进去,json-lib会怎么处理:




  1. public static JSONObject fromObject( Object object, JsonConfig jsonConfig ) {
    2. 

  2. if( object == null || JSONUtils.isNull( object ) ){
    3. 

  3. return new JSONObject( true );




 public static JSONObject fromObject( Object object, JsonConfig jsonConfig ) {

      if( object == null || JSONUtils.isNull( object ) ){

         return new JSONObject( true );


看代码是直接返回了一个空的JSONObject,没有用到任何默认值输出。


B,其次,我们看如果java对象直接是一个JDK中已经有的类(什么指 Enum,Annotation,JSONObject,DynaBean,JSONTokener,JSONString,Map,String,Number,Array),但是值为null ,json-lib如何处理


JSONObject.java




  1. }else if( object instanceof Enum ){
    2. 

  2. throw new JSONException( "'object' is an Enum. Use JSONArray instead" ); // 不支持枚举
    3. 

  3. }else if( object instanceof Annotation || (object != null && object.getClass()
    4. 

  4. .isAnnotation()) ){
    5. 

  5. throw new JSONException( "'object' is an Annotation." ); // 不支持 注解
    6. 

  6. }else if( object instanceof JSONObject ){
    7. 

  7. return _fromJSONObject( (JSONObject) object, jsonConfig );
    8. 

  8. }else if( object instanceof DynaBean ){
    9. 

  9. return _fromDynaBean( (DynaBean) object, jsonConfig );
    10. 

  10. }else if( object instanceof JSONTokener ){
    11. 

  11. return _fromJSONTokener( (JSONTokener) object, jsonConfig );
    12. 

  12. }else if( object instanceof JSONString ){
    13. 

  13. return _fromJSONString( (JSONString) object, jsonConfig );
    14. 

  14. }else if( object instanceof Map ){
    15. 

  15. return _fromMap( (Map) object, jsonConfig );
    16. 

  16. }else if( object instanceof String ){
    17. 

  17. return _fromString( (String) object, jsonConfig );
    18. 

  18. }else if( JSONUtils.isNumber( object ) || JSONUtils.isBoolean( object )
    19. 

  19. || JSONUtils.isString( object ) ){
    20. 

  20. return new JSONObject();  // 不支持纯数字
    21. 

  21. }else if( JSONUtils.isArray( object ) ){
    22. 

  22. throw new JSONException( "'object' is an array. Use JSONArray instead" ); //不支持数组,需要用JSONArray替代
    23. 

  23. }else{




 


根据以上代码,主要发现_fromMap是不支持使用DefaultValueProcessor 的。


原因看代码:


JSONObject.java




  1. if( value != null ){ //大的前提条件,value不为空
    2. 

  2. JsonValueProcessor jsonValueProcessor = jsonConfig.findJsonValueProcessor(
    3. 

  3. value.getClass(), key );
    4. 

  4. if( jsonValueProcessor != null ){
    5. 

  5. value = jsonValueProcessor.processObjectValue( key, value, jsonConfig );
    6. 

  6. if( !JsonVerifier.isValidJsonValue( value ) ){
    7. 

  7. throw new JSONException( "Value is not a valid JSON value. " + value );
    8. 

  8. }
    9. 

  9. }
    10. 

  10. setValue( jsonObject, key, value, value.getClass(), jsonConfig );








  1. private static void setValue( JSONObject jsonObject, String key, Object value, Class type,
    2. 

  2. JsonConfig jsonConfig ) {
    3. 

  3. boolean accumulated = false;
    4. 

  4. if( value == null ){ // 当 value为空的时候使用DefaultValueProcessor
    5. 

  5. value = jsonConfig.findDefaultValueProcessor( type )
    6. 

  6. .getDefaultValue( type );
    7. 

  7. if( !JsonVerifier.isValidJsonValue( value ) ){
    8. 

  8. throw new JSONException( "Value is not a valid JSON value. " + value );
    9. 

  9. }
    10. 

  10. }
    11. 

  11. ……




 


根据我的注释, 上面的代码显然是存在矛盾。


_fromDynaBean是支持DefaultValueProcessor的和下面的C是一样的。


C,我们看如果 java 对象是自定义类型的,并且里面的属性包含空值(没赋值,默认是null)也就是上面B还没贴出来的最后一个else




  1. else {return _fromBean( object, jsonConfig );}






我写了个测试类:




  1. public static void testDefaultValueProcessor() {
    2. 

  2. PlainObjectHolder holder = new PlainObjectHolder();
    3. 

  3. JsonConfig config = new JsonConfig();
    4. 

  4. config.registerDefaultValueProcessor(PlainObject.class,
    5. 

  5. new MyPlainObjectProcessor());
    6. 

  6. config.registerDefaultValueProcessor(Integer.class,
    7. 

  7. new MyDefaultIntegerValueProcessor());
    8. 

  8. JSONObject json = JSONObject.fromObject(holder, config);
    9. 

  9. System.out.println(json);
    10. 

  10. }






这种情况的输出值是 {"a":9999,"object":"美女瑶瑶"}
即两个Processor都起作用了。


========================== Json To Java ===============


一,ignoreDefaultExcludes




  1. public static void json2java() {
    2. 

  2. String jsonString = "{'name':'hello','class':'ddd'}";
    3. 

  3. JsonConfig config = new JsonConfig();
    4. 

  4. config.setIgnoreDefaultExcludes(true); // 与JAVA To Json的时候一样,不设置class属性无法输出
    5. 

  5. JSONObject json = (JSONObject) JSONSerializer.toJSON(jsonString,config);
    6. 

  6. System.out.println(json);
    7. 

  7. }






========================== JSON 输出的安全问题 ===============


我们做程序的时候主要是使用 Java To Json的方式,下面描述的是 安全性问题:




  1. @SuppressWarnings("unchecked")
    2. 

  2. public static void testSecurity() {
    3. 

  3. Map map = new HashMap();
    4. 

  4. map.put("\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {", "");
    5. 

  5. JSONObject jsonObject = JSONObject.fromObject(map);
    6. 

  6. System.out.println(jsonObject);
    7. 

  7. }









  1. public static void main(String[] args) {
    2. 

  2. JsonTest.testSecurity();
    3. 

  3. }






输出的内容:






{"\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {":"" }






如果把这段内容直接贴到记事本里面,命名为 testSecu.html ,然后用浏览器打开发现执行了其中的 js脚本。这样就容易产生XSS安全问题。


												


											
json-lib 之jsonConfig详细使用(转载写的不错)的更多相关文章
	

    
								
  1. JSON lib 里JsonConfig详解
		
    一,setCycleDetectionStrategy 防止自包含 /** * 这里测试如果含有自包含的时候需要CycleDetectionStrategy */ public static void ...
    
		
    2. 
						
  2. 使用JsonConfig控制JSON lib序列化
		
    将对象转换成字符串,是非常常用的功能,尤其在WEB应用中,使用 JSON lib 能够便捷地完成这项工作.JSON lib能够将Java对象转成json格式的字符串,也可以将Java对象转换成xml格 ...
    
		
    3. 
						
  3. Atitit.json类库的设计与实现 ati json lib
		
    Atitit.json类库的设计与实现 ati json lib 1. 目前jsonlib库可能有问题,可能版本冲突,抛出ex1 2. 解决之道:1 2.1. 自定义json解析库,使用多个复合的js ...
    
		
    4. 
						
  4. Json lib集成stucts2的使用方法    抛出 NestableRuntimeException异常的解决办法
		
    首先贴出struts 2.3.16需要导入的包 因为使用的是2.3 版本,必须要导入这个包,否则会报java.lang.NoClassDefFoundError: org/apache/commons ...
    
		
    5. 
						
  5. C# json反序列化 对象中嵌套数组 (转载)   可能会导致循环或多重级联路径。请指定 ON DELETE NO ACTION 或 ON UPDATE NO ACTION,或修改其他 FOREIGN KEY 约束。
		
    C# json反序列化 对象中嵌套数组 (转载)   看图: 这里可以看到是二层嵌套!!使用C#如何实现?? 思路:使用list集合实现 → 建立类 → list集合 → 微软的   Newtonso ...
    
		
    6. 
						
  6. 关于Spring MVC写的不错的几篇博客
		
    关于Spring MVC写的不错的几篇博客 https://my.oschina.net/kolbe/blog/509810 https://www.cnblogs.com/sunniest/p/45 ...
    
		
    7. 
						
  7. Linux各目录及每个目录的详细介绍(转载)
		
    [常见目录说明] 目录 /bin 存放二进制可执行文件(ls,cat,mkdir等),常用命令一般都在这里. /etc 存放系统管理和配置文件 /home 存放所有用户文件的根目录,是用户主目录的基点 ...
    
		
    8. 
						
  8. python正则表达式re模块详细介绍--转载
		
    本模块提供了和Perl里的正则表达式类似的功能,不关是正则表达式本身还是被搜索的字符串,都可以是Unicode字符,这点不用担心,python会处理地和Ascii字符一样漂亮. 正则表达式使用反斜杆( ...
    
		
    9. 
						
  9. 使用Varnish代替Squid做网站缓存加速器的详细解决方案----转载
		
    [文章作者:张宴 本文版本:v1.2 最后修改:2008.01.02 转载请注明出处:http://blog.s135.com] 我曾经写过一篇文章──<初步试用Squid的替代产品──Varn ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. oracle表空间维护常用命令
			
    ---查看表空间的名字及文件所在位置: select tablespace_name, file_id, file_name,round(bytes/(1024*1024),0) total_spac ...
    
			
    2. 
						
  2. 浅谈Trie
			
    所谓\(Trie\)就是字典树. 何为字典树?想象一下我们平时用拼音查字法在字典树查汉字的时候,一位一位确定这个汉字的拼音从而翻到我们想要看的那一面. 所以\(Trie\)树跟字典一样,是一种逐位检索 ...
    
			
    3. 
						
  3. c++里面有没有什么办法做到 判断某个给定的未知数是double类型还是int类型 呢?
			
    c++里面有没有什么办法做到 判断某个给定的未知数是double类型还是int类型 呢? 如果只是double和int, 可以用sizeof 1 2 3 4 5 6 7 8 9 10 11 12 13 ...
    
			
    4. 
						
  4. JAVA Debug 调试代码
			
    JAVA Debug 调试代码 1.什么时候使用Debug: 程序的运行结果,与你的预期结果不同时,Debug的目的是找错误,而不是该错误: 2.早期调试代码的方式就是打桩: System.out.p ...
    
			
    5. 
						
  5. 如何配置Python环境
			
    (1) 下载:请在Python官网下载页面(https://www.python.org/downloads/)选择合适的版本(建议选择3.5.2版)的链接,在该版本的下载页面选择合适的安装文件:64 ...
    
			
    6. 
						
  6. 【转】用JMeter来测试Tomcat的性能
			
    JMeter是Apache组织的开放源代码项目,它是功能和性能测试的工具,100%的用java实现,最新的版本是1.9.1,大家可以到http://jakarta.apache.org/jmeter/ ...
    
			
    7. 
						
  7. [Java][Web]Response学习
			
    // 在 http 中,meta 标签可以模拟响应头 response.setHeader("Content-type", "text/html;charset=UTF- ...
    
			
    8. 
						
  8. JavaScript 数组some()和filter()
			
      some方法 array1.some(callbackfn[, thisArg]) 对数组array1中的每个元素调用回调函数callbackfn,当回调函数返回true或者遍历完所有数组后,so ...
    
			
    9. 
						
  9. canvas之画一条线段
			
    var canvas=document.getElementById("canvas"); //设置绘图环境 var cxt=canvas.getContext('2d'); // ...
    
			
    10. 
						
  10. Druid.io系列(八):部署
			
    介绍 前面几个章节对Druid的整体架构做了简单的说明,本文主要描述如何部署Druid的环境 Imply提供了一套完整的部署方式,包括依赖库,Druid,图形化的数据展示页面,SQL查询组件等.本文将 ...
    
			
    11.