=========================== Java To Json =============================

一,setCycleDetectionStrategy 防止自包含

  1. /**
  2. * 这里测试如果含有自包含的时候需要CycleDetectionStrategy
  3. */
  4. public static void testCycleObject() {
  5. CycleObject object = new CycleObject();
  6. object.setMemberId("yajuntest");
  7. object.setSex("male");
  8. JsonConfig jsonConfig = new JsonConfig();
  9. jsonConfig.setCycleDetectionStrategy(CycleDetectionStrategy.LENIENT);
  10. JSONObject json = JSONObject.fromObject(object, jsonConfig);
  11. System.out.println(json);
  12. }
  13. public static void main(String[] args) {
  14. JsonTest.testCycleObject();
  15. }

其中 CycleObject.java是我自己写的一个类:

  1. public class CycleObject {
  2. private String      memberId;
  3. private String      sex;
  4. private CycleObject me = this;
  5. …… // getters && setters
  6. }


输出 {"sex":"male","memberId":"yajuntest","me":null}


二,setExcludes:排除需要序列化成json的属性




  1. public static void testExcludeProperites() {
    2. 

  2. String str = "{'string':'JSON', 'integer': 1, 'double': 2.0, 'boolean': true}";
    3. 

  3. JsonConfig jsonConfig = new JsonConfig();
    4. 

  4. jsonConfig.setExcludes(new String[] { "double", "boolean" });
    5. 

  5. JSONObject jsonObject = (JSONObject) JSONSerializer.toJSON(str, jsonConfig);
    6. 

  6. System.out.println(jsonObject.getString("string"));
    7. 

  7. System.out.println(jsonObject.getInt("integer"));
    8. 

  8. System.out.println(jsonObject.has("double"));
    9. 

  9. System.out.println(jsonObject.has("boolean"));
    10. 

  10. }
    11. 

  11. public static void main(String[] args) {
    12. 

  12. JsonTest.testExcludeProperites();
    13. 

  13. }






三,setIgnoreDefaultExcludes




  1. @SuppressWarnings("unchecked")
    2. 

  2. public static void testMap() {
    3. 

  3. Map map = new HashMap();
    4. 

  4. map.put("name", "json");
    5. 

  5. map.put("class", "ddd");
    6. 

  6. JsonConfig config = new JsonConfig();
    7. 

  7. config.setIgnoreDefaultExcludes(true);  //默认为false,即过滤默认的key
    8. 

  8. JSONObject jsonObject = JSONObject.fromObject(map,config);
    9. 

  9. System.out.println(jsonObject);
    10. 

  10. }






上面的代码会把name 和 class都输出。


而去掉setIgnoreDefaultExcludes(true)的话,就只会输出name,不会输出class。




  1. private static final String[] DEFAULT_EXCLUDES = new String[] { "class", "declaringClass",
    2. 

  2. "metaClass" }; // 默认会过滤的几个key




   


四,registerJsonBeanProcessor 当value类型是从java的一个bean转化过来的时候,可以提供自定义处理器




  1. public static void testMap() {
    2. 

  2. Map map = new HashMap();
    3. 

  3. map.put("name", "json");
    4. 

  4. map.put("class", "ddd");
    5. 

  5. map.put("date", new Date());
    6. 

  6. JsonConfig config = new JsonConfig();
    7. 

  7. config.setIgnoreDefaultExcludes(false);
    8. 

  8. config.registerJsonBeanProcessor(Date.class,
    9. 

  9. new JsDateJsonBeanProcessor()); // 当输出时间格式时,采用和JS兼容的格式输出
    10. 

  10. JSONObject jsonObject = JSONObject.fromObject(map, config);
    11. 

  11. System.out.println(jsonObject);
    12. 

  12. }




	


注:JsDateJsonBeanProcessor 是json-lib已经提供的类,我们也可以实现自己的JsonBeanProcessor。


五,registerJsonValueProcessor


六,registerDefaultValueProcessor


为了演示,首先我自己实现了两个 Processor


一个针对Integer




  1. public class MyDefaultIntegerValueProcessor implements DefaultValueProcessor {
    2. 

  2. public Object getDefaultValue(Class type) {
    3. 

  3. if (type != null && Integer.class.isAssignableFrom(type)) {
    4. 

  4. return Integer.valueOf(9999);
    5. 

  5. }
    6. 

  6. return JSONNull.getInstance();
    7. 

  7. }
    8. 

  8. }






一个针对PlainObject(我自定义的类)




  1. public class MyPlainObjectProcessor implements DefaultValueProcessor {
    2. 

  2. public Object getDefaultValue(Class type) {
    3. 

  3. if (type != null && PlainObject.class.isAssignableFrom(type)) {
    4. 

  4. return "美女" + "瑶瑶";
    5. 

  5. }
    6. 

  6. return JSONNull.getInstance();
    7. 

  7. }
    8. 

  8. }






以上两个类用于处理当value为null的时候该如何输出。


还准备了两个普通的自定义bean


PlainObjectHolder:




  1. public class PlainObjectHolder {
    2. 

  2. private PlainObject object; // 自定义类型
    3. 

  3. private Integer a; // JDK自带的类型
    4. 

  4. public PlainObject getObject() {
    5. 

  5. return object;
    6. 

  6. }
    7. 

  7. public void setObject(PlainObject object) {
    8. 

  8. this.object = object;
    9. 

  9. }
    10. 

  10. public Integer getA() {
    11. 

  11. return a;
    12. 

  12. }
    13. 

  13. public void setA(Integer a) {
    14. 

  14. this.a = a;
    15. 

  15. }
    16. 

  16. }






PlainObject 也是我自己定义的类




  1. public class PlainObject {
    2. 

  2. private String memberId;
    3. 

  3. private String sex;
    4. 

  4. public String getMemberId() {
    5. 

  5. return memberId;
    6. 

  6. }
    7. 

  7. public void setMemberId(String memberId) {
    8. 

  8. this.memberId = memberId;
    9. 

  9. }
    10. 

  10. public String getSex() {
    11. 

  11. return sex;
    12. 

  12. }
    13. 

  13. public void setSex(String sex) {
    14. 

  14. this.sex = sex;
    15. 

  15. }
    16. 

  16. }






A,如果JSONObject.fromObject(null) 这个参数直接传null进去,json-lib会怎么处理:




  1. public static JSONObject fromObject( Object object, JsonConfig jsonConfig ) {
    2. 

  2. if( object == null || JSONUtils.isNull( object ) ){
    3. 

  3. return new JSONObject( true );




 public static JSONObject fromObject( Object object, JsonConfig jsonConfig ) {

      if( object == null || JSONUtils.isNull( object ) ){

         return new JSONObject( true );


看代码是直接返回了一个空的JSONObject,没有用到任何默认值输出。


B,其次,我们看如果java对象直接是一个JDK中已经有的类(什么指 Enum,Annotation,JSONObject,DynaBean,JSONTokener,JSONString,Map,String,Number,Array),但是值为null ,json-lib如何处理


JSONObject.java




  1. }else if( object instanceof Enum ){
    2. 

  2. throw new JSONException( "'object' is an Enum. Use JSONArray instead" ); // 不支持枚举
    3. 

  3. }else if( object instanceof Annotation || (object != null && object.getClass()
    4. 

  4. .isAnnotation()) ){
    5. 

  5. throw new JSONException( "'object' is an Annotation." ); // 不支持 注解
    6. 

  6. }else if( object instanceof JSONObject ){
    7. 

  7. return _fromJSONObject( (JSONObject) object, jsonConfig );
    8. 

  8. }else if( object instanceof DynaBean ){
    9. 

  9. return _fromDynaBean( (DynaBean) object, jsonConfig );
    10. 

  10. }else if( object instanceof JSONTokener ){
    11. 

  11. return _fromJSONTokener( (JSONTokener) object, jsonConfig );
    12. 

  12. }else if( object instanceof JSONString ){
    13. 

  13. return _fromJSONString( (JSONString) object, jsonConfig );
    14. 

  14. }else if( object instanceof Map ){
    15. 

  15. return _fromMap( (Map) object, jsonConfig );
    16. 

  16. }else if( object instanceof String ){
    17. 

  17. return _fromString( (String) object, jsonConfig );
    18. 

  18. }else if( JSONUtils.isNumber( object ) || JSONUtils.isBoolean( object )
    19. 

  19. || JSONUtils.isString( object ) ){
    20. 

  20. return new JSONObject();  // 不支持纯数字
    21. 

  21. }else if( JSONUtils.isArray( object ) ){
    22. 

  22. throw new JSONException( "'object' is an array. Use JSONArray instead" ); //不支持数组,需要用JSONArray替代
    23. 

  23. }else{




 


根据以上代码,主要发现_fromMap是不支持使用DefaultValueProcessor 的。


原因看代码:


JSONObject.java




  1. if( value != null ){ //大的前提条件,value不为空
    2. 

  2. JsonValueProcessor jsonValueProcessor = jsonConfig.findJsonValueProcessor(
    3. 

  3. value.getClass(), key );
    4. 

  4. if( jsonValueProcessor != null ){
    5. 

  5. value = jsonValueProcessor.processObjectValue( key, value, jsonConfig );
    6. 

  6. if( !JsonVerifier.isValidJsonValue( value ) ){
    7. 

  7. throw new JSONException( "Value is not a valid JSON value. " + value );
    8. 

  8. }
    9. 

  9. }
    10. 

  10. setValue( jsonObject, key, value, value.getClass(), jsonConfig );








  1. private static void setValue( JSONObject jsonObject, String key, Object value, Class type,
    2. 

  2. JsonConfig jsonConfig ) {
    3. 

  3. boolean accumulated = false;
    4. 

  4. if( value == null ){ // 当 value为空的时候使用DefaultValueProcessor
    5. 

  5. value = jsonConfig.findDefaultValueProcessor( type )
    6. 

  6. .getDefaultValue( type );
    7. 

  7. if( !JsonVerifier.isValidJsonValue( value ) ){
    8. 

  8. throw new JSONException( "Value is not a valid JSON value. " + value );
    9. 

  9. }
    10. 

  10. }
    11. 

  11. ……




 


根据我的注释, 上面的代码显然是存在矛盾。


_fromDynaBean是支持DefaultValueProcessor的和下面的C是一样的。


C,我们看如果 java 对象是自定义类型的,并且里面的属性包含空值(没赋值,默认是null)也就是上面B还没贴出来的最后一个else




  1. else {return _fromBean( object, jsonConfig );}






我写了个测试类:




  1. public static void testDefaultValueProcessor() {
    2. 

  2. PlainObjectHolder holder = new PlainObjectHolder();
    3. 

  3. JsonConfig config = new JsonConfig();
    4. 

  4. config.registerDefaultValueProcessor(PlainObject.class,
    5. 

  5. new MyPlainObjectProcessor());
    6. 

  6. config.registerDefaultValueProcessor(Integer.class,
    7. 

  7. new MyDefaultIntegerValueProcessor());
    8. 

  8. JSONObject json = JSONObject.fromObject(holder, config);
    9. 

  9. System.out.println(json);
    10. 

  10. }






这种情况的输出值是 {"a":9999,"object":"美女瑶瑶"}
即两个Processor都起作用了。


========================== Json To Java ===============


一,ignoreDefaultExcludes




  1. public static void json2java() {
    2. 

  2. String jsonString = "{'name':'hello','class':'ddd'}";
    3. 

  3. JsonConfig config = new JsonConfig();
    4. 

  4. config.setIgnoreDefaultExcludes(true); // 与JAVA To Json的时候一样,不设置class属性无法输出
    5. 

  5. JSONObject json = (JSONObject) JSONSerializer.toJSON(jsonString,config);
    6. 

  6. System.out.println(json);
    7. 

  7. }






========================== JSON 输出的安全问题 ===============


我们做程序的时候主要是使用 Java To Json的方式,下面描述的是 安全性问题:




  1. @SuppressWarnings("unchecked")
    2. 

  2. public static void testSecurity() {
    3. 

  3. Map map = new HashMap();
    4. 

  4. map.put("\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {", "");
    5. 

  5. JSONObject jsonObject = JSONObject.fromObject(map);
    6. 

  6. System.out.println(jsonObject);
    7. 

  7. }









  1. public static void main(String[] args) {
    2. 

  2. JsonTest.testSecurity();
    3. 

  3. }






输出的内容:






{"\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {":"" }






如果把这段内容直接贴到记事本里面,命名为 testSecu.html ,然后用浏览器打开发现执行了其中的 js脚本。这样就容易产生XSS安全问题。


												


											
json-lib 之jsonConfig详细使用(转载写的不错)的更多相关文章
	

    
								
  1. JSON lib 里JsonConfig详解
		
    一,setCycleDetectionStrategy 防止自包含 /** * 这里测试如果含有自包含的时候需要CycleDetectionStrategy */ public static void ...
    
		
    2. 
						
  2. 使用JsonConfig控制JSON lib序列化
		
    将对象转换成字符串,是非常常用的功能,尤其在WEB应用中,使用 JSON lib 能够便捷地完成这项工作.JSON lib能够将Java对象转成json格式的字符串,也可以将Java对象转换成xml格 ...
    
		
    3. 
						
  3. Atitit.json类库的设计与实现 ati json lib
		
    Atitit.json类库的设计与实现 ati json lib 1. 目前jsonlib库可能有问题,可能版本冲突,抛出ex1 2. 解决之道:1 2.1. 自定义json解析库,使用多个复合的js ...
    
		
    4. 
						
  4. Json lib集成stucts2的使用方法    抛出 NestableRuntimeException异常的解决办法
		
    首先贴出struts 2.3.16需要导入的包 因为使用的是2.3 版本,必须要导入这个包,否则会报java.lang.NoClassDefFoundError: org/apache/commons ...
    
		
    5. 
						
  5. C# json反序列化 对象中嵌套数组 (转载)   可能会导致循环或多重级联路径。请指定 ON DELETE NO ACTION 或 ON UPDATE NO ACTION,或修改其他 FOREIGN KEY 约束。
		
    C# json反序列化 对象中嵌套数组 (转载)   看图: 这里可以看到是二层嵌套!!使用C#如何实现?? 思路:使用list集合实现 → 建立类 → list集合 → 微软的   Newtonso ...
    
		
    6. 
						
  6. 关于Spring MVC写的不错的几篇博客
		
    关于Spring MVC写的不错的几篇博客 https://my.oschina.net/kolbe/blog/509810 https://www.cnblogs.com/sunniest/p/45 ...
    
		
    7. 
						
  7. Linux各目录及每个目录的详细介绍(转载)
		
    [常见目录说明] 目录 /bin 存放二进制可执行文件(ls,cat,mkdir等),常用命令一般都在这里. /etc 存放系统管理和配置文件 /home 存放所有用户文件的根目录,是用户主目录的基点 ...
    
		
    8. 
						
  8. python正则表达式re模块详细介绍--转载
		
    本模块提供了和Perl里的正则表达式类似的功能,不关是正则表达式本身还是被搜索的字符串,都可以是Unicode字符,这点不用担心,python会处理地和Ascii字符一样漂亮. 正则表达式使用反斜杆( ...
    
		
    9. 
						
  9. 使用Varnish代替Squid做网站缓存加速器的详细解决方案----转载
		
    [文章作者:张宴 本文版本:v1.2 最后修改:2008.01.02 转载请注明出处:http://blog.s135.com] 我曾经写过一篇文章──<初步试用Squid的替代产品──Varn ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. fpga配置过程(转载)
			
    fpga 配置时序图如下 1.FPGA器件有三类配置下载方式:主动配置方式(AS)和被动配置方式(PS)和最常用的(JTAG)配置方式.             AS 由FPGA器件引导配置操作过程, ...
    
			
    2. 
						
  2. LG1429 平面最近点对(加强版)
			
    题意 给定平面上n个点,找出其中的一对点的距离,使得在这n个点的所有点对中,该距离为所有点对中最小的 2≤n≤200000 分析 参照3A17K的题解. 我们充分发扬人类智慧: 将所有点全部绕原点旋转 ...
    
			
    3. 
						
  3. wpf 虚拟化操作异常
			
    根据这篇文章提供的方法会导致搜索变慢及有时候搜索不到 WPF中ItemsControl应用虚拟化时找到子元素的方法, 具体可以修改为下面代码: //Action action = () => / ...
    
			
    4. 
						
  4. (转)Inno Setup入门(五)——添加readme文件
			
    本文转载自:http://blog.csdn.net/yushanddddfenghailin/article/details/17250771 这个实现起来很简单,就是在[files]段中的某个预先 ...
    
			
    5. 
						
  5. Android多线程断点下载的代码流程解析
			
    Step 1:创建一个用来记录线程下载信息的表 创建数据库表,于是乎我们创建一个数据库的管理器类,继承SQLiteOpenHelper类 重写onCreate()与onUpgrade()方法 DBOp ...
    
			
    6. 
						
  6. 6 istio 配置 grafana
			
    1 验证prometheus  service 已经运行: $ kubectl -n istio-system get svc prometheus NAME CLUSTER-IP EXTERNAL- ...
    
			
    7. 
						
  7. web前端 ajax加载动态生成复选框demo
			
    <!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <title&g ...
    
			
    8. 
						
  8. Cloudstack 安装记录
			
    一.条件要求 1.硬件支持虚拟化,并在BIOS中开启(Inter-VT设为 Enable). 2.Centos 6.5 x86_64 3.环境中的每台主机均为静态IP地址. 4.cloudstack安 ...
    
			
    9. 
						
  9. linux中的常用压缩与解压缩命令
			
    linux中常用的压缩格式有   .zip   .gz   .bz2   .tar.gz   .tar.bz2 一..zip 1.命令格式 zip 压缩文件名 源文件名         (压缩文件到当 ...
    
			
    10. 
						
  10. Dev使用技巧汇总
			
    C# XtraGrid的行指示器(RowIndicator)行号以及图标设置 参考网址:https://www.cnblogs.com/xuliangxing/p/6775438.html DateE ...
    
			
    11.