一,setCycleDetectionStrategy 防止自包含

public static void testCycleObject() { 
        CycleObject object = new CycleObject(); 
        object.setMemberId("yajuntest"); 
        object.setSex("male"); 
        JsonConfig jsonConfig = new JsonConfig(); 
        jsonConfig.setCycleDetectionStrategy(CycleDetectionStrategy.LENIENT);

JSONObject json = JSONObject.Object(object, jsonConfig); 
        System.out.println(json); 
    }

public static void main(String[] args) { 
               JsonTest.testCycleObject(); 
    }此中 CycleObject.java是我本身写的一个类:

public class CycleObject {

private String      memberId; 
    private String      sex; 
    private CycleObject me = this; 
…… // getters && setters 

二,setExcludes:打消须要序列化成json的属性

public static void testExcludeProperites() { 
        String str = "{""string"":""JSON"", ""integer"": 1, ""double"": 2.0, ""boolean"": true}"; 
        JsonConfig jsonConfig = new JsonConfig(); 
        jsonConfig.setExcludes(new String[] { "double", "boolean" }); 
        JSONObject jsonObject = (JSONObject) JSerializer.toJSON(str, jsonConfig); 
        System.out.println(jsonObject.getString("string")); 
        System.out.println(jsonObject.getInt("integer")); 
        System.out.println(jsonObject.has("double")); 
        System.out.println(jsonObject.has("boolean")); 
    }

public static void main(String[] args) { 
        JsonTest.testExcludeProperites(); 
    } 
三,setIgnoreDefaultExcludes

@SuppressWarnings("unchecked") 
public static void testMap() { 
Map map = new HashMap(); 
map.put("name", "json"); 
map.put("class", "ddd"); 
JsonConfig config = new JsonConfig(); 
config.setIgnoreDefaultExcludes(true);  //默认为false,即过滤默认的key 
JSONObject jsonObject = JSONObject.Object(map,config); 
System.out.println(jsonObject);


上方的代把name 和 class都输出。

而去掉setIgnoreDefaultExcludes(true)的话,就只会输出name,不会输出class。

private static final String[] DEFAULT_EXCLUDES = new String[] { "class", "declaringClass", 
         "metaClass" }; // 默认会过滤的几个key 
四,registerJsonBeanProcessor 当value类型是从java的一个bean转化过来的时辰,可以供给自定义处理惩罚器

public static void testMap() { 
Map map = new HashMap(); 
map.put("name", "json"); 
map.put("class", "ddd"); 
map.put("date", new Date()); 
JsonConfig config = new JsonConfig(); 
config.setIgnoreDefaultExcludes(false); 
config.registerJsonBeanProcessor(Date.class, 
new JsDateJsonBeanProcessor()); // 当输出时候格局时,采取和JS兼容的格局输出 
JSONObject jsonObject = JSONObject.Object(map, config); 
System.out.println(jsonObject); 

注:JsDateJsonBeanProcessor 是json-lib已经供给的类,我们也可以实现本身的JsonBeanProcessor。

五,registerJsonValueProcessor

六,registerDefaultValueProcessor

为了演示,起首我本身实现了两个 Processor

一个针对Integer

public class MyDefaultIntegerValueProcessor implements DefaultValueProcessor {

public Object getDefaultValue(Class type) { 
if (type != null && Integer.class.isAssignableFrom(type)) { 
return Integer.valueOf(9999); 

return JSONNull.getInstance(); 
}


一个针对PlainObject(我自定义的类)

public class MyPlainObjectProcessor implements DefaultValueProcessor {

public Object getDefaultValue(Class type) { 
if (type != null && PlainObject.class.isAssignableFrom(type)) { 
return "美男" + "瑶瑶"; 

return JSONNull.getInstance(); 


以上两个类用于处理惩罚当value为null的时辰该如何输出。

还筹办了两个通俗的自定义bean

PlainObjectHolder:

public class PlainObjectHolder {

private PlainObject object; // 自定义类型 
private Integer a; // JDK自带的类型

public PlainObject getObject() { 
return object; 
}

public void setObject(PlainObject object) { 
this.object = object; 
}

public Integer getA() { 
return a; 
}

public void setA(Integer a) { 
this.a = a; 
}


PlainObject 也是我本身定义的类

public class PlainObject {

private String memberId; 
    private String sex;

public String getMemberId() { 
        return memberId; 
    }

public void setMemberId(String memberId) { 
        this.memberId = memberId; 
    }

public String getSex() { 
        return sex; 
    }

public void setSex(String sex) { 
        this.sex = sex; 
    }


A,若是JSONObject.Object(null) 这个参数直接传null进去,json-lib会怎么处理惩罚

public static JSONObject Object( Object object, JsonConfig jsonConfig ) { 
      if( object == null || JSONUtils.isNull( object ) ){ 
         return new JSONObject( true ); 
看代码是直接返回了一个空的JSONObject,没有效到任何默认值输出。

B,其次,我们看若是java对象直接是一个JDK中已经有的类(什么指Enum,Annotation,JSONObject,DynaBean,JSONTokener,JString,Map,String,Number,Array),然则值为null ,json-lib如何处理惩罚

JSONObject.java

}else if( object instanceof Enum ){ 
         throw new JSONException( """object"" is an Enum. Use JSONArray instead" ); // 不支撑列举 
      }else if( object instanceof Annotation || (object != null && object.getClass() 
            .isAnnotation()) ){ 
         throw new JSONException( """object"" is an Annotation." ); // 不支撑 注解 
      }else if( object instanceof JSONObject ){ 
         return _JSONObject( (JSONObject) object, jsonConfig ); 
      }else if( object instanceof DynaBean ){ 
         return _DynaBean( (DynaBean) object, jsonConfig ); 
      }else if( object instanceof JSONTokener ){ 
         return _JSONTokener( (JSONTokener) object, jsonConfig ); 
      }else if( object instanceof JString ){ 
         return _JString( (JString) object, jsonConfig ); 
      }else if( object instanceof Map ){ 
         return _Map( (Map) object, jsonConfig ); 
      }else if( object instanceof String ){ 
         return _String( (String) object, jsonConfig ); 
      }else if( JSONUtils.isNumber( object ) || JSONUtils.isBoolean( object ) 
            || JSONUtils.isString( object ) ){ 
         return new JSONObject();  // 不支撑纯数字 
      }else if( JSONUtils.isArray( object ) ){ 
         throw new JSONException( """object"" is an array. Use JSONArray instead" ); //不支撑数组,须要用JSONArray调换 
      }else{ 
按照以上代码,首要发明_Map是不支撑应用DefaultValueProcessor 的。

原因看代码:

JSONObject.java

if( value != null ){ //大的前提前提,value不为空 
               JsonValueProcessor jsonValueProcessor = jsonConfig.findJsonValueProcessor( 
                     value.getClass(), key ); 
               if( jsonValueProcessor != null ){ 
                  value = jsonValueProcessor.processObjectValue( key, value, jsonConfig ); 
                  if( !JsonVerifier.isValidJsonValue( value ) ){ 
                     throw new JSONException( "Value is not a valid JSON value. " + value );
                  } 
               } 
               setValue( jsonObject, key, value, value.getClass(), jsonConfig ); 
private static void setValue( JSONObject jsonObject, String key, Object value, Class type, 
         JsonConfig jsonConfig ) { 
      boolean accumulated = false; 
      if( value == null ){ // 当 value为空的时辰应用DefaultValueProcessor 
         value = jsonConfig.findDefaultValueProcessor( type ) 
               .getDefaultValue( type ); 
         if( !JsonVerifier.isValidJsonValue( value ) ){ 
            throw new JSONException( "Value is not a valid JSON value. " + value ); 
         } 
      } 
…… 
按照我的注释, 上方的代码显然是存在抵触。

_DynaBean是支撑DefaultValueProcessor的和下面的C是一样的。

C,我们看若是 java 对象是自定义类型的,并且里面的属性包含空值(没赋值,默认是null)也就是上方B还没贴出来的最后一个else

else {return _Bean( object, jsonConfig );} 
我写了个测试类:

public static void testDefaultValueProcessor() { 
PlainObjectHolder holder = new PlainObjectHolder(); 
JsonConfig config = new JsonConfig(); 
config.registerDefaultValueProcessor(PlainObject.class, 
new MyPlainObjectProcessor()); 
config.registerDefaultValueProcessor(Integer.class, 
new MyDefaultIntegerValueProcessor()); 
JSONObject json = JSONObject.Object(holder, config); 
System.out.println(json); 

这种景象的输出值是 {"a":9999,"object":"美男瑶瑶"} 
即两个Processor都起感化了。

========================== Json To Java ===============

一,ignoreDefaultExcludes

public static void json2java() { 
String jsonString = "{""name"":""hello"",""class"":""ddd""}"; 
JsonConfig config = new JsonConfig(); 
config.setIgnoreDefaultExcludes(true); // 与JAVA To Json的时辰一样,不设置class属性无法输出 
JSONObject json = (JSONObject) JSerializer.toJSON(jsonString,config); 
System.out.println(json); 

========================== JSON 输出的安然题目 ===============

我们做法度的时辰主如果应用 Java To Json的体式格式,下面描述的是 安然性题目:

@SuppressWarnings("unchecked") 
    public static void testSecurity() { 
        Map map = new HashMap(); 
        map.put(""} {", ""); 
        JSONObject jsonObject = JSONObject.Object(map); 
        System.out.println(jsonObject); 
    } 
public static void main(String[] args) { 
        JsonTest.testSecurity(); 
    } 
输出的内容:

{""} {":"" }

若是把这段内容直接贴到记事本里面,定名为 testSecu.html ,然后用浏览器打开辟明履行了此中的 js脚本。如许就轻易产生XSS安然题目。

json-lib 之jsonConfig具体应用的更多相关文章

  1. JSON lib 里JsonConfig详解

    一,setCycleDetectionStrategy 防止自包含 /** * 这里测试如果含有自包含的时候需要CycleDetectionStrategy */ public static void ...

  2. 使用JsonConfig控制JSON lib序列化

    将对象转换成字符串,是非常常用的功能,尤其在WEB应用中,使用 JSON lib 能够便捷地完成这项工作.JSON lib能够将Java对象转成json格式的字符串,也可以将Java对象转换成xml格 ...

  3. Json lib集成stucts2的使用方法 抛出 NestableRuntimeException异常的解决办法

    首先贴出struts 2.3.16需要导入的包 因为使用的是2.3 版本,必须要导入这个包,否则会报java.lang.NoClassDefFoundError: org/apache/commons ...

  4. Atitit.json类库的设计与实现 ati json lib

    Atitit.json类库的设计与实现 ati json lib 1. 目前jsonlib库可能有问题,可能版本冲突,抛出ex1 2. 解决之道:1 2.1. 自定义json解析库,使用多个复合的js ...

  5. json lib 2.4及其依赖包下载

    下载文件地址:https://files.cnblogs.com/files/xiandedanteng/json-lib-2.4%26dependencies_jars.rar 它包括 common ...

  6. Json的JsonValueProcessor方法

    将对象转换成字符串,是非常常用的功能,尤其在WEB应用中,使用 JSON lib 能够便捷地完成这项工作. JSON lib能够将Java对象转成json格式的字符串,也可以将Java对象转换成xml ...

  7. java集合转换成json时问题和解决方法

    json+hibernate死循环问题的一点见解,有需要的朋友可以参考下. [问题]如题所示,在我们使用hibernate框架而又需要将对象转化为json的时候,如果配置了双向的关联关系,就会出现这个 ...

  8. java使用json-lib库的json工具类.

    import net.sf.ezmorph.object.DateMorpher;import net.sf.json.JSONArray;import net.sf.json.JSONObject; ...

  9. JSON — Java与JSON数据互转

    转换时Bean所要求的: 被转换的Bean必需是public的. Bean被转换的属性一定要有对应的get方法,且一定要是public的. Bean中不能用引用自身的this的属性,否则运行时出现et ...

  10. java中Array/List/Map/Object与Json互相转换详解

    http://blog.csdn.net/xiaomu709421487/article/details/51456705 JSON(JavaScript Object Notation): 是一种轻 ...

随机推荐

  1. linux eclipse cdt make error 127

    不知道为啥,copy原来的eclipse环境到新的地方后,编译总是出错: make:*** error 127 解决方案是:属性Properties---C++编译 c++build---build ...

  2. 命令模式坚决svn树冲突(local unversioned, incoming add upon update)

    当工作目录修改删除过时更新使用svn更新就容易发生树冲突“Tree Confilict”.会出现类似提示. local unversioned, incoming add upon update 如果 ...

  3. BZOJ 1067 & Interval_Tree

    1067: [SCOI2007]降雨量 Time Limit: 1 Sec Memory Limit: 162 MB Submit: 3099 Solved: 800 Description 我们常常 ...

  4. 为tomcat 安装 native 和配置apr

    yum install -y apr-devel openssl-devel gcc 安装native cd /lxyy/tomcat7/bin tar zxvf tomcat-native.tar. ...

  5. elasticsearch2.2 集群搭建各种坑

        目前生产环境的es版本是1.0版本,需要升级到最新的2.2版本,于是在测试环境进行部署集群测试,在测试过程中遇到的坑相当多,下面详细介绍下.       1. 版本升级到2.2后,必须建一个单 ...

  6. winform学习之----将多个控件的click方法绑定到同一click方法中

             public Form3()         {             InitializeComponent();             button1.Click +=new ...

  7. iOS开发中使用[[UIApplication sharedApplication] openURL:]加载其它应用

        iOS 应用程序之间(1)  在iOS开发中,经常需要调用其它App,如拨打电话.发送邮件等.UIApplication:openURL:方法是实现这一目的的最简单方法,该方法一般通过提供的u ...

  8. Ubuntu 14.04 使用的一些笔记

    1. 今天下载了安卓的2.3.5的源代码,解压tar的时候,发现一个错误中断了解压过程: could not create the hard link file, 看了一下基本上都是每个主目录下的 . ...

  9. [转]C#基础回顾:Asp.net 缓存

    本文转自http://www.cnblogs.com/stg609/archive/2009/03/22/1418992.html 缓存的作用      你买电脑的时候,是否会在意CPU的二级缓存?是 ...

  10. backtrack5渗透 笔记

    目录        1.信息收集        2.扫描工具        3.漏洞发现        4.社会工程学工具        5.运用层攻击msf        6.局域网攻击       ...