一,setCycleDetectionStrategy 防止自包含

  1. /**
  2. * 这里测试如果含有自包含的时候需要CycleDetectionStrategy
  3. */
  4. public static void testCycleObject() {
  5. CycleObject object = new CycleObject();
  6. object.setMemberId("yajuntest");
  7. object.setSex("male");
  8. JsonConfig jsonConfig = new JsonConfig();
  9. jsonConfig.setCycleDetectionStrategy(CycleDetectionStrategy.LENIENT);
  10. JSONObject json = JSONObject.fromObject(object, jsonConfig);
  11. System.out.println(json);
  12. }
  13. public static void main(String[] args) {
  14. JsonTest.testCycleObject();
  15. }

其中 CycleObject.java是我自己写的一个类:

  1. public class CycleObject {
  2. private String      memberId;
  3. private String      sex;
  4. private CycleObject me = this;
  5. …… // getters && setters
  6. }

输出 {"sex":"male","memberId":"yajuntest","me":null}

二,setExcludes:排除需要序列化成json的属性

  1. public static void testExcludeProperites() {
  2. String str = "{'string':'JSON', 'integer': 1, 'double': 2.0, 'boolean': true}";
  3. JsonConfig jsonConfig = new JsonConfig();
  4. jsonConfig.setExcludes(new String[] { "double", "boolean" });
  5. JSONObject jsonObject = (JSONObject) JSONSerializer.toJSON(str, jsonConfig);
  6. System.out.println(jsonObject.getString("string"));
  7. System.out.println(jsonObject.getInt("integer"));
  8. System.out.println(jsonObject.has("double"));
  9. System.out.println(jsonObject.has("boolean"));
  10. }
  11. public static void main(String[] args) {
  12. JsonTest.testExcludeProperites();
  13. }

三,setIgnoreDefaultExcludes

  1. @SuppressWarnings("unchecked")
  2. public static void testMap() {
  3. Map map = new HashMap();
  4. map.put("name", "json");
  5. map.put("class", "ddd");
  6. JsonConfig config = new JsonConfig();
  7. config.setIgnoreDefaultExcludes(true);  //默认为false,即过滤默认的key
  8. JSONObject jsonObject = JSONObject.fromObject(map,config);
  9. System.out.println(jsonObject);
  10. }

上面的代码会把name 和 class都输出。

而去掉setIgnoreDefaultExcludes(true)的话,就只会输出name,不会输出class。

  1. private static final String[] DEFAULT_EXCLUDES = new String[] { "class", "declaringClass",
  2. "metaClass" }; // 默认会过滤的几个key

四,registerJsonBeanProcessor 当value类型是从java的一个bean转化过来的时候,可以提供自定义处理器

  1. public static void testMap() {
  2. Map map = new HashMap();
  3. map.put("name", "json");
  4. map.put("class", "ddd");
  5. map.put("date", new Date());
  6. JsonConfig config = new JsonConfig();
  7. config.setIgnoreDefaultExcludes(false);
  8. config.registerJsonBeanProcessor(Date.class,
  9. new JsDateJsonBeanProcessor()); // 当输出时间格式时,采用和JS兼容的格式输出
  10. JSONObject jsonObject = JSONObject.fromObject(map, config);
  11. System.out.println(jsonObject);
  12. }

注:JsDateJsonBeanProcessor 是json-lib已经提供的类,我们也可以实现自己的JsonBeanProcessor。

五,registerJsonValueProcessor

六,registerDefaultValueProcessor

为了演示,首先我自己实现了两个 Processor

一个针对Integer

  1. public class MyDefaultIntegerValueProcessor implements DefaultValueProcessor {
  2. public Object getDefaultValue(Class type) {
  3. if (type != null && Integer.class.isAssignableFrom(type)) {
  4. return Integer.valueOf(9999);
  5. }
  6. return JSONNull.getInstance();
  7. }
  8. }

一个针对PlainObject(我自定义的类)

  1. public class MyPlainObjectProcessor implements DefaultValueProcessor {
  2. public Object getDefaultValue(Class type) {
  3. if (type != null && PlainObject.class.isAssignableFrom(type)) {
  4. return "美女" + "瑶瑶";
  5. }
  6. return JSONNull.getInstance();
  7. }
  8. }

以上两个类用于处理当value为null的时候该如何输出。

还准备了两个普通的自定义bean

PlainObjectHolder:

  1. public class PlainObjectHolder {
  2. private PlainObject object; // 自定义类型
  3. private Integer a; // JDK自带的类型
  4. public PlainObject getObject() {
  5. return object;
  6. }
  7. public void setObject(PlainObject object) {
  8. this.object = object;
  9. }
  10. public Integer getA() {
  11. return a;
  12. }
  13. public void setA(Integer a) {
  14. this.a = a;
  15. }
  16. }

PlainObject 也是我自己定义的类

  1. public class PlainObject {
  2. private String memberId;
  3. private String sex;
  4. public String getMemberId() {
  5. return memberId;
  6. }
  7. public void setMemberId(String memberId) {
  8. this.memberId = memberId;
  9. }
  10. public String getSex() {
  11. return sex;
  12. }
  13. public void setSex(String sex) {
  14. this.sex = sex;
  15. }
  16. }

A,如果JSONObject.fromObject(null) 这个参数直接传null进去,json-lib会怎么处理:

  1. public static JSONObject fromObject( Object object, JsonConfig jsonConfig ) {
  2. if( object == null || JSONUtils.isNull( object ) ){
  3. return new JSONObject( true );

看代码是直接返回了一个空的JSONObject,没有用到任何默认值输出。

B,其次,我们看如果java对象直接是一个JDK中已经有的类(什么指 Enum,Annotation,JSONObject,DynaBean,JSONTokener,JSONString,Map,String,Number,Array),但是值为null ,json-lib如何处理

JSONObject.java

  1. }else if( object instanceof Enum ){
  2. throw new JSONException( "'object' is an Enum. Use JSONArray instead" ); // 不支持枚举
  3. }else if( object instanceof Annotation || (object != null && object.getClass()
  4. .isAnnotation()) ){
  5. throw new JSONException( "'object' is an Annotation." ); // 不支持 注解
  6. }else if( object instanceof JSONObject ){
  7. return _fromJSONObject( (JSONObject) object, jsonConfig );
  8. }else if( object instanceof DynaBean ){
  9. return _fromDynaBean( (DynaBean) object, jsonConfig );
  10. }else if( object instanceof JSONTokener ){
  11. return _fromJSONTokener( (JSONTokener) object, jsonConfig );
  12. }else if( object instanceof JSONString ){
  13. return _fromJSONString( (JSONString) object, jsonConfig );
  14. }else if( object instanceof Map ){
  15. return _fromMap( (Map) object, jsonConfig );
  16. }else if( object instanceof String ){
  17. return _fromString( (String) object, jsonConfig );
  18. }else if( JSONUtils.isNumber( object ) || JSONUtils.isBoolean( object )
  19. || JSONUtils.isString( object ) ){
  20. return new JSONObject();  // 不支持纯数字
  21. }else if( JSONUtils.isArray( object ) ){
  22. throw new JSONException( "'object' is an array. Use JSONArray instead" ); //不支持数组,需要用JSONArray替代
  23. }else{

根据以上代码,主要发现_fromMap是不支持使用DefaultValueProcessor 的。

原因看代码:

JSONObject.java

  1. if( value != null ){ //大的前提条件,value不为空
  2. JsonValueProcessor jsonValueProcessor = jsonConfig.findJsonValueProcessor(
  3. value.getClass(), key );
  4. if( jsonValueProcessor != null ){
  5. value = jsonValueProcessor.processObjectValue( key, value, jsonConfig );
  6. if( !JsonVerifier.isValidJsonValue( value ) ){
  7. throw new JSONException( "Value is not a valid JSON value. " + value );
  8. }
  9. }
  10. setValue( jsonObject, key, value, value.getClass(), jsonConfig );
  1. private static void setValue( JSONObject jsonObject, String key, Object value, Class type,
  2. JsonConfig jsonConfig ) {
  3. boolean accumulated = false;
  4. if( value == null ){ // 当 value为空的时候使用DefaultValueProcessor
  5. value = jsonConfig.findDefaultValueProcessor( type )
  6. .getDefaultValue( type );
  7. if( !JsonVerifier.isValidJsonValue( value ) ){
  8. throw new JSONException( "Value is not a valid JSON value. " + value );
  9. }
  10. }
  11. ……

根据我的注释, 上面的代码显然是存在矛盾。

_fromDynaBean是支持DefaultValueProcessor的和下面的C是一样的。

C,我们看如果 java 对象是自定义类型的,并且里面的属性包含空值(没赋值,默认是null)也就是上面B还没贴出来的最后一个else

  1. else {return _fromBean( object, jsonConfig );}

我写了个测试类:

  1. public static void testDefaultValueProcessor() {
  2. PlainObjectHolder holder = new PlainObjectHolder();
  3. JsonConfig config = new JsonConfig();
  4. config.registerDefaultValueProcessor(PlainObject.class,
  5. new MyPlainObjectProcessor());
  6. config.registerDefaultValueProcessor(Integer.class,
  7. new MyDefaultIntegerValueProcessor());
  8. JSONObject json = JSONObject.fromObject(holder, config);
  9. System.out.println(json);
  10. }

这种情况的输出值是 {"a":9999,"object":"美女瑶瑶"}
即两个Processor都起作用了。

========================== Json To Java ===============

一,ignoreDefaultExcludes

  1. public static void json2java() {
  2. String jsonString = "{'name':'hello','class':'ddd'}";
  3. JsonConfig config = new JsonConfig();
  4. config.setIgnoreDefaultExcludes(true); // 与JAVA To Json的时候一样,不设置class属性无法输出
  5. JSONObject json = (JSONObject) JSONSerializer.toJSON(jsonString,config);
  6. System.out.println(json);
  7. }

========================== JSON 输出的安全问题 ===============

我们做程序的时候主要是使用 Java To Json的方式,下面描述的是 安全性问题:

  1. @SuppressWarnings("unchecked")
  2. public static void testSecurity() {
  3. Map map = new HashMap();
  4. map.put("\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {", "");
  5. JSONObject jsonObject = JSONObject.fromObject(map);
  6. System.out.println(jsonObject);
  7. }
  1. public static void main(String[] args) {
  2. JsonTest.testSecurity();
  3. }

输出的内容:

{"\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {":"" }

如果把这段内容直接贴到记事本里面,命名为 testSecu.html ,然后用浏览器打开发现执行了其中的 js脚本。这样就容易产生XSS安全问题。

JSON lib 里JsonConfig详解的更多相关文章

  1. Jquery遍历筛选数组的几种方法和遍历解析json对象|Map()方法详解

    Jquery遍历筛选数组的几种方法和遍历解析json对象|Map()方法详解 一.Jquery遍历筛选数组 1.jquery grep()筛选遍历数组 $().ready( function(){ v ...

  2. 『动善时』JMeter基础 — 35、JMeter接口关联【JSON提取器】详解

    目录 1.JSON提取器介绍 2.JSON提取器界面详解 3.JSON提取器的使用 (1)测试计划内包含的元件 (2)HTTP Cookie管理器内容 (3)用户登陆请求界面内容 (4)JSON提取器 ...

  3. JSON Web Token 使用详解

    JWT 是什么? JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案.它是有三部分组成,示例如下,具体的讲解如下(jwt 是不会有空行的,下面只是为了显示,便使用了换行看着比较 ...

  4. JQuery解析HTML、JSON和XML实例详解

    1.HTML 有的时候会将一段HTML片段保存在HTML文件中,在另外的主页面直接读取该HTML文件,然后解析里面的HTML代码片段融入到主页面中. fragment.html文件,其内容: 复制代码 ...

  5. HttpURLConnection从网上获取Json数据并解析详解

    HttpURLConnection从网上获取Json数据并解析 1.HttpURLConnection请求数据的步骤 (1)构造一个URL接口地址: URL url = new URL("h ...

  6. python接口自动化(十九)--Json 数据处理---实战(详解)

    简介 上一篇说了关于json数据处理,是为了断言方便,这篇就带各位小伙伴实战一下.首先捋一下思路,然后根据思路一步一步的去实现和实战,不要一开始就盲目的动手和无头苍蝇一样到处乱撞,撞得头破血流后而放弃 ...

  7. python接口自动化(九)--python中字典和json的区别(详解)

    简介 这篇文章的由来是由于上一篇发送post请求的接口时候,参数传字典(dict)和json的缘故,因为python中,json和dict非常类似,都是key-value的形式,为啥还要这么传参,在群 ...

  8. Python全栈之路----常用模块----序列化(json&pickle&shelve)模块详解

    把内存数据转成字符,叫序列化:把字符转成内存数据类型,叫反序列化. Json模块 Json模块提供了四个功能:序列化:dumps.dump:反序列化:loads.load. import json d ...

  9. C# XML与Json之间相互转换实例详解

    对于这转换其实很简单,其中最重要的就是先要引用类库.可以到官网进行下载引用http://json.codeplex.com. XML转换为Json字符串 string xml = @"< ...

随机推荐

  1. icon 图标下载

    1. http://www.easyicon.net/ 2.http://www.iconpng.com/

  2. VS2012下基于Glut 矩阵变换示例程序:

    也可以使用我们自己的矩阵运算来实现OpenGL下的glTranslatef相应的旋转变换.需要注意的是OpenGL下的矩阵是列优先存储的. 示例通过矩阵运算使得圆柱或者甜圈自动绕Y轴旋转,可以单击鼠标 ...

  3. IDEA导入maven项目的步骤

    其它的就不多说,直接开始咱们的步骤. 首先,你的装有IDEA,我的是IDEA15的,其次就是你的maven插件来,不过,这些基本的插件,IDEA里基本都给咱下载好了,你就可以直接配置maven.可以去 ...

  4. javascript 数组方法解析

    测试数组:testArrayA = ['a','b','c','d','e'] , testArrayB = [2,3,6,1] 1.删除数组最后一项(pop()): 返回删除那一项的值:var po ...

  5. linux面试题集锦4《转》

    四.编程与应用题: 1.用Shell编程,判断一文件是不是字符设备文件,如果是将其拷贝到 /dev 目录下. 参考程序: #!/bin/sh FILENAME= echo “Input file na ...

  6. 啥数据类型set补充、深浅拷贝与函数

    #s1 = {1,2,3,1} """ s2 = ([2,5,6]) print(s1) s1.add(5) #添加元素"5" print(s1) s ...

  7. 用python3实现linux的sed功能

    sed是一个很好的文件处理工具,本身是一个管道命令,主要是以行为单位进行处理,可以将数据行进行替换.删除.新增.选取等特定工作.现在用python简单实现sed的主要命令,将old_text替换为ne ...

  8. Linux、GUN/Linux、GUN、GPL以及各个发行版本详细介绍

    学习Linux很久了,却对GUN,Linux,Linux发行版等无所了解,是不是觉得很对不起自己啊.呵呵,所以我就在网上找了些资料,总结在一起,还算是比较能说明问题的. 什么是Linux? 也许很多人 ...

  9. Eclipse 使用简记

    Eclipse 使用简记 本文针对 Eclipse Neon (4.6)版本进行说明,具体而言是 Eclipse IDE for Java EE Developers . 下载 Eclipse ecl ...

  10. CSU 1806 Toll

    最短路,自适应$Simpson$积分. 看了别人的题解才知道有个东西叫自适应$Simpson$积分. 有这样一个积分公式:$\int_a^b {f(x)dx}  \approx \frac{{b - ...