=========================== Java To Json =============================

一,setCycleDetectionStrategy 防止自包含

  1. /**
  2. * 这里测试如果含有自包含的时候需要CycleDetectionStrategy
  3. */
  4. public static void testCycleObject() {
  5. CycleObject object = new CycleObject();
  6. object.setMemberId("yajuntest");
  7. object.setSex("male");
  8. JsonConfig jsonConfig = new JsonConfig();
  9. jsonConfig.setCycleDetectionStrategy(CycleDetectionStrategy.LENIENT);
  10. JSONObject json = JSONObject.fromObject(object, jsonConfig);
  11. System.out.println(json);
  12. }
  13. public static void main(String[] args) {
  14. JsonTest.testCycleObject();
  15. }
  1.

其中 CycleObject.java是我自己写的一个类:

  1. public class CycleObject {
  2. private String      memberId;
  3. private String      sex;
  4. private CycleObject me = this;
  5. …… // getters && setters
  6. }
  1.  

输出 {"sex":"male","memberId":"yajuntest","me":null}

二,setExcludes:排除需要序列化成json的属性

  1. public static void testExcludeProperites() {
  2. String str = "{'string':'JSON', 'integer': 1, 'double': 2.0, 'boolean': true}";
  3. JsonConfig jsonConfig = new JsonConfig();
  4. jsonConfig.setExcludes(new String[] { "double", "boolean" });
  5. JSONObject jsonObject = (JSONObject) JSONSerializer.toJSON(str, jsonConfig);
  6. System.out.println(jsonObject.getString("string"));
  7. System.out.println(jsonObject.getInt("integer"));
  8. System.out.println(jsonObject.has("double"));
  9. System.out.println(jsonObject.has("boolean"));
  10. }
  11. public static void main(String[] args) {
  12. JsonTest.testExcludeProperites();
  13. }
  1.  

三,setIgnoreDefaultExcludes

  1. @SuppressWarnings("unchecked")
  2. public static void testMap() {
  3. Map map = new HashMap();
  4. map.put("name", "json");
  5. map.put("class", "ddd");
  6. JsonConfig config = new JsonConfig();
  7. config.setIgnoreDefaultExcludes(true);  //默认为false,即过滤默认的key
  8. JSONObject jsonObject = JSONObject.fromObject(map,config);
  9. System.out.println(jsonObject);
  10. }
  1.  

上面的代码会把name 和 class都输出。

而去掉setIgnoreDefaultExcludes(true)的话,就只会输出name,不会输出class。

  1. private static final String[] DEFAULT_EXCLUDES = new String[] { "class", "declaringClass",
  2. "metaClass" }; // 默认会过滤的几个key
  1.

四,registerJsonBeanProcessor 当value类型是从java的一个bean转化过来的时候,可以提供自定义处理器

  1. public static void testMap() {
  2. Map map = new HashMap();
  3. map.put("name", "json");
  4. map.put("class", "ddd");
  5. map.put("date", new Date());
  6. JsonConfig config = new JsonConfig();
  7. config.setIgnoreDefaultExcludes(false);
  8. config.registerJsonBeanProcessor(Date.class,
  9. new JsDateJsonBeanProcessor()); // 当输出时间格式时,采用和JS兼容的格式输出
  10. JSONObject jsonObject = JSONObject.fromObject(map, config);
  11. System.out.println(jsonObject);
  12. }
  1.

注:JsDateJsonBeanProcessor 是json-lib已经提供的类,我们也可以实现自己的JsonBeanProcessor。

五,registerJsonValueProcessor

六,registerDefaultValueProcessor

为了演示,首先我自己实现了两个 Processor

一个针对Integer

  1. public class MyDefaultIntegerValueProcessor implements DefaultValueProcessor {
  2. public Object getDefaultValue(Class type) {
  3. if (type != null && Integer.class.isAssignableFrom(type)) {
  4. return Integer.valueOf(9999);
  5. }
  6. return JSONNull.getInstance();
  7. }
  8. }
  1.  

一个针对PlainObject(我自定义的类)

  1. public class MyPlainObjectProcessor implements DefaultValueProcessor {
  2. public Object getDefaultValue(Class type) {
  3. if (type != null && PlainObject.class.isAssignableFrom(type)) {
  4. return "美女" + "瑶瑶";
  5. }
  6. return JSONNull.getInstance();
  7. }
  8. }
  1.  

以上两个类用于处理当value为null的时候该如何输出。

还准备了两个普通的自定义bean

PlainObjectHolder:

  1. public class PlainObjectHolder {
  2. private PlainObject object; // 自定义类型
  3. private Integer a; // JDK自带的类型
  4. public PlainObject getObject() {
  5. return object;
  6. }
  7. public void setObject(PlainObject object) {
  8. this.object = object;
  9. }
  10. public Integer getA() {
  11. return a;
  12. }
  13. public void setA(Integer a) {
  14. this.a = a;
  15. }
  16. }
  1.  

PlainObject 也是我自己定义的类

  1. public class PlainObject {
  2. private String memberId;
  3. private String sex;
  4. public String getMemberId() {
  5. return memberId;
  6. }
  7. public void setMemberId(String memberId) {
  8. this.memberId = memberId;
  9. }
  10. public String getSex() {
  11. return sex;
  12. }
  13. public void setSex(String sex) {
  14. this.sex = sex;
  15. }
  16. }
  1.  

A,如果JSONObject.fromObject(null) 这个参数直接传null进去,json-lib会怎么处理:

  1. public static JSONObject fromObject( Object object, JsonConfig jsonConfig ) {
  2. if( object == null || JSONUtils.isNull( object ) ){
  3. return new JSONObject( true );
  1.  public static JSONObject fromObject( Object object, JsonConfig jsonConfig ) {
  2.       if( object == null || JSONUtils.isNull( object ) ){
  3.          return new JSONObject( true );

看代码是直接返回了一个空的JSONObject,没有用到任何默认值输出。

B,其次,我们看如果java对象直接是一个JDK中已经有的类(什么指 Enum,Annotation,JSONObject,DynaBean,JSONTokener,JSONString,Map,String,Number,Array),但是值为null ,json-lib如何处理

JSONObject.java

  1. }else if( object instanceof Enum ){
  2. throw new JSONException( "'object' is an Enum. Use JSONArray instead" ); // 不支持枚举
  3. }else if( object instanceof Annotation || (object != null && object.getClass()
  4. .isAnnotation()) ){
  5. throw new JSONException( "'object' is an Annotation." ); // 不支持 注解
  6. }else if( object instanceof JSONObject ){
  7. return _fromJSONObject( (JSONObject) object, jsonConfig );
  8. }else if( object instanceof DynaBean ){
  9. return _fromDynaBean( (DynaBean) object, jsonConfig );
  10. }else if( object instanceof JSONTokener ){
  11. return _fromJSONTokener( (JSONTokener) object, jsonConfig );
  12. }else if( object instanceof JSONString ){
  13. return _fromJSONString( (JSONString) object, jsonConfig );
  14. }else if( object instanceof Map ){
  15. return _fromMap( (Map) object, jsonConfig );
  16. }else if( object instanceof String ){
  17. return _fromString( (String) object, jsonConfig );
  18. }else if( JSONUtils.isNumber( object ) || JSONUtils.isBoolean( object )
  19. || JSONUtils.isString( object ) ){
  20. return new JSONObject();  // 不支持纯数字
  21. }else if( JSONUtils.isArray( object ) ){
  22. throw new JSONException( "'object' is an array. Use JSONArray instead" ); //不支持数组,需要用JSONArray替代
  23. }else{
  1.

根据以上代码,主要发现_fromMap是不支持使用DefaultValueProcessor 的。

原因看代码:

JSONObject.java

  1. if( value != null ){ //大的前提条件,value不为空
  2. JsonValueProcessor jsonValueProcessor = jsonConfig.findJsonValueProcessor(
  3. value.getClass(), key );
  4. if( jsonValueProcessor != null ){
  5. value = jsonValueProcessor.processObjectValue( key, value, jsonConfig );
  6. if( !JsonVerifier.isValidJsonValue( value ) ){
  7. throw new JSONException( "Value is not a valid JSON value. " + value );
  8. }
  9. }
  10. setValue( jsonObject, key, value, value.getClass(), jsonConfig );
  1.  
  1. private static void setValue( JSONObject jsonObject, String key, Object value, Class type,
  2. JsonConfig jsonConfig ) {
  3. boolean accumulated = false;
  4. if( value == null ){ // 当 value为空的时候使用DefaultValueProcessor
  5. value = jsonConfig.findDefaultValueProcessor( type )
  6. .getDefaultValue( type );
  7. if( !JsonVerifier.isValidJsonValue( value ) ){
  8. throw new JSONException( "Value is not a valid JSON value. " + value );
  9. }
  10. }
  11. ……
  1.

根据我的注释, 上面的代码显然是存在矛盾。

_fromDynaBean是支持DefaultValueProcessor的和下面的C是一样的。

C,我们看如果 java 对象是自定义类型的,并且里面的属性包含空值(没赋值,默认是null)也就是上面B还没贴出来的最后一个else

  1. else {return _fromBean( object, jsonConfig );}
  1.  

我写了个测试类:

  1. public static void testDefaultValueProcessor() {
  2. PlainObjectHolder holder = new PlainObjectHolder();
  3. JsonConfig config = new JsonConfig();
  4. config.registerDefaultValueProcessor(PlainObject.class,
  5. new MyPlainObjectProcessor());
  6. config.registerDefaultValueProcessor(Integer.class,
  7. new MyDefaultIntegerValueProcessor());
  8. JSONObject json = JSONObject.fromObject(holder, config);
  9. System.out.println(json);
  10. }
  1.  

这种情况的输出值是 {"a":9999,"object":"美女瑶瑶"}
即两个Processor都起作用了。

========================== Json To Java ===============

一,ignoreDefaultExcludes

  1. public static void json2java() {
  2. String jsonString = "{'name':'hello','class':'ddd'}";
  3. JsonConfig config = new JsonConfig();
  4. config.setIgnoreDefaultExcludes(true); // 与JAVA To Json的时候一样,不设置class属性无法输出
  5. JSONObject json = (JSONObject) JSONSerializer.toJSON(jsonString,config);
  6. System.out.println(json);
  7. }
  1.  

========================== JSON 输出的安全问题 ===============

我们做程序的时候主要是使用 Java To Json的方式,下面描述的是 安全性问题:

  1. @SuppressWarnings("unchecked")
  2. public static void testSecurity() {
  3. Map map = new HashMap();
  4. map.put("\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {", "");
  5. JSONObject jsonObject = JSONObject.fromObject(map);
  6. System.out.println(jsonObject);
  7. }
  1.  
  1. public static void main(String[] args) {
  2. JsonTest.testSecurity();
  3. }
  1.  

输出的内容:

{"\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {":"" }

如果把这段内容直接贴到记事本里面,命名为 testSecu.html ,然后用浏览器打开发现执行了其中的 js脚本。这样就容易产生XSS安全问题。

json-lib 之jsonConfig详细使用(转载写的不错)的更多相关文章

  1. JSON lib 里JsonConfig详解

    一,setCycleDetectionStrategy 防止自包含 /** * 这里测试如果含有自包含的时候需要CycleDetectionStrategy */ public static void ...

  2. 使用JsonConfig控制JSON lib序列化

    将对象转换成字符串,是非常常用的功能,尤其在WEB应用中,使用 JSON lib 能够便捷地完成这项工作.JSON lib能够将Java对象转成json格式的字符串,也可以将Java对象转换成xml格 ...

  3. Atitit.json类库的设计与实现 ati json lib

    Atitit.json类库的设计与实现 ati json lib 1. 目前jsonlib库可能有问题,可能版本冲突,抛出ex1 2. 解决之道:1 2.1. 自定义json解析库,使用多个复合的js ...

  4. Json lib集成stucts2的使用方法 抛出 NestableRuntimeException异常的解决办法

    首先贴出struts 2.3.16需要导入的包 因为使用的是2.3 版本,必须要导入这个包,否则会报java.lang.NoClassDefFoundError: org/apache/commons ...

  5. C# json反序列化 对象中嵌套数组 (转载) 可能会导致循环或多重级联路径。请指定 ON DELETE NO ACTION 或 ON UPDATE NO ACTION,或修改其他 FOREIGN KEY 约束。

    C# json反序列化 对象中嵌套数组 (转载)   看图: 这里可以看到是二层嵌套!!使用C#如何实现?? 思路:使用list集合实现 → 建立类 → list集合 → 微软的   Newtonso ...

  6. 关于Spring MVC写的不错的几篇博客

    关于Spring MVC写的不错的几篇博客 https://my.oschina.net/kolbe/blog/509810 https://www.cnblogs.com/sunniest/p/45 ...

  7. Linux各目录及每个目录的详细介绍(转载)

    [常见目录说明] 目录 /bin 存放二进制可执行文件(ls,cat,mkdir等),常用命令一般都在这里. /etc 存放系统管理和配置文件 /home 存放所有用户文件的根目录,是用户主目录的基点 ...

  8. python正则表达式re模块详细介绍--转载

    本模块提供了和Perl里的正则表达式类似的功能,不关是正则表达式本身还是被搜索的字符串,都可以是Unicode字符,这点不用担心,python会处理地和Ascii字符一样漂亮. 正则表达式使用反斜杆( ...

  9. 使用Varnish代替Squid做网站缓存加速器的详细解决方案----转载

    [文章作者:张宴 本文版本:v1.2 最后修改:2008.01.02 转载请注明出处:http://blog.s135.com] 我曾经写过一篇文章──<初步试用Squid的替代产品──Varn ...

随机推荐

  1. 《DSP using MATLAB》示例Example7.6 Type-3 Linear-Phase FIR

    代码: h = [-4, 1, -1, -2, 5, 0, -5, 2, 1, -1, 4]; M = length(h); n = 0:M-1; [Hr, w, c, L] = Hr_Type3(h ...

  2. xpath与css_selector定位详解

    例题:分别用xPath和css_selector定位下图的img标签 答案:  xpath:.//*[@id='fstscr']/div[3]/div[2]/a/img css_selector: . ...

  3. .OPF文件剖析

    OPF文档是epub电子书的核心文件,且是一个标准的XML文件,依据OPF规范,主要由五个部分组成: 1.<metadata>,元数据信息,由两个子元素组成: <dc-metadat ...

  4. linux下如何添加一个用户并且让用户获得root权限【转载】

    原文:http://www.cnblogs.com/johnw/p/5499442.html 1.添加用户,首先用adduser命令添加一个普通用户,命令如下: #adduser tommy //添加 ...

  5. Java 设计模式之单例模式(一)

    原文地址:Java 设计模式之单例模式(一) 博客地址:http://www.extlight.com 一.背景 没有太多原由,纯粹是记录和总结自己从业以来经历和学习的点点滴滴. 本篇内容为 Java ...

  6. GPS数据包格式解析

    四种定位系统:1.美国的全球定位系统(Global Positioning System,GPS)2.俄罗斯的格罗拉斯(Global Nabigation Satellite System,GLONA ...

  7. 【转】redis GEO地理位置

    redis目前已经到了3.2版本,3.2版本里面新增的一个功能就是对GEO(地理位置)的支持. 地理位置大概提供了6个命令,分别为: GEOADD GEODIST GEOHASH GEOPOS GEO ...

  8. laravel里面的控制器笔记

    看了下教程,总结了下,大概分两种 一般的controller restful的controller 单独绑定action的route为 Route::get('user/{id}', 'UserCon ...

  9. 【经验】实现STL算法时遇到的模板编译错误问题

    在实现set_union算法时调用了自己写的copy算法,出现了以下问题. Error 1 error C2665: 'xyz_stl::__copy' : none of the 2 overloa ...

  10. Apache的下载安装(主要说的 64位)及问题

    本文转载自:http://blog.csdn.net/qq_15096707/article/details/47319545 今天重装完win10系统,就重新下载安装 Apache.虽说之前有安装过 ...