=========================== Java To Json =============================

一,setCycleDetectionStrategy 防止自包含

  1. /**
  2. * 这里测试如果含有自包含的时候需要CycleDetectionStrategy
  3. */
  4. public static void testCycleObject() {
  5. CycleObject object = new CycleObject();
  6. object.setMemberId("yajuntest");
  7. object.setSex("male");
  8. JsonConfig jsonConfig = new JsonConfig();
  9. jsonConfig.setCycleDetectionStrategy(CycleDetectionStrategy.LENIENT);
  10. JSONObject json = JSONObject.fromObject(object, jsonConfig);
  11. System.out.println(json);
  12. }
  13. public static void main(String[] args) {
  14. JsonTest.testCycleObject();
  15. }

其中 CycleObject.java是我自己写的一个类:

  1. public class CycleObject {
  2. private String      memberId;
  3. private String      sex;
  4. private CycleObject me = this;
  5. …… // getters && setters
  6. }


输出 {"sex":"male","memberId":"yajuntest","me":null}


二,setExcludes:排除需要序列化成json的属性




  1. public static void testExcludeProperites() {
    2. 

  2. String str = "{'string':'JSON', 'integer': 1, 'double': 2.0, 'boolean': true}";
    3. 

  3. JsonConfig jsonConfig = new JsonConfig();
    4. 

  4. jsonConfig.setExcludes(new String[] { "double", "boolean" });
    5. 

  5. JSONObject jsonObject = (JSONObject) JSONSerializer.toJSON(str, jsonConfig);
    6. 

  6. System.out.println(jsonObject.getString("string"));
    7. 

  7. System.out.println(jsonObject.getInt("integer"));
    8. 

  8. System.out.println(jsonObject.has("double"));
    9. 

  9. System.out.println(jsonObject.has("boolean"));
    10. 

  10. }
    11. 

  11. public static void main(String[] args) {
    12. 

  12. JsonTest.testExcludeProperites();
    13. 

  13. }






三,setIgnoreDefaultExcludes




  1. @SuppressWarnings("unchecked")
    2. 

  2. public static void testMap() {
    3. 

  3. Map map = new HashMap();
    4. 

  4. map.put("name", "json");
    5. 

  5. map.put("class", "ddd");
    6. 

  6. JsonConfig config = new JsonConfig();
    7. 

  7. config.setIgnoreDefaultExcludes(true);  //默认为false,即过滤默认的key
    8. 

  8. JSONObject jsonObject = JSONObject.fromObject(map,config);
    9. 

  9. System.out.println(jsonObject);
    10. 

  10. }






上面的代码会把name 和 class都输出。


而去掉setIgnoreDefaultExcludes(true)的话,就只会输出name,不会输出class。




  1. private static final String[] DEFAULT_EXCLUDES = new String[] { "class", "declaringClass",
    2. 

  2. "metaClass" }; // 默认会过滤的几个key




   


四,registerJsonBeanProcessor 当value类型是从java的一个bean转化过来的时候,可以提供自定义处理器




  1. public static void testMap() {
    2. 

  2. Map map = new HashMap();
    3. 

  3. map.put("name", "json");
    4. 

  4. map.put("class", "ddd");
    5. 

  5. map.put("date", new Date());
    6. 

  6. JsonConfig config = new JsonConfig();
    7. 

  7. config.setIgnoreDefaultExcludes(false);
    8. 

  8. config.registerJsonBeanProcessor(Date.class,
    9. 

  9. new JsDateJsonBeanProcessor()); // 当输出时间格式时,采用和JS兼容的格式输出
    10. 

  10. JSONObject jsonObject = JSONObject.fromObject(map, config);
    11. 

  11. System.out.println(jsonObject);
    12. 

  12. }




	


注:JsDateJsonBeanProcessor 是json-lib已经提供的类,我们也可以实现自己的JsonBeanProcessor。


五,registerJsonValueProcessor


六,registerDefaultValueProcessor


为了演示,首先我自己实现了两个 Processor


一个针对Integer




  1. public class MyDefaultIntegerValueProcessor implements DefaultValueProcessor {
    2. 

  2. public Object getDefaultValue(Class type) {
    3. 

  3. if (type != null && Integer.class.isAssignableFrom(type)) {
    4. 

  4. return Integer.valueOf(9999);
    5. 

  5. }
    6. 

  6. return JSONNull.getInstance();
    7. 

  7. }
    8. 

  8. }






一个针对PlainObject(我自定义的类)




  1. public class MyPlainObjectProcessor implements DefaultValueProcessor {
    2. 

  2. public Object getDefaultValue(Class type) {
    3. 

  3. if (type != null && PlainObject.class.isAssignableFrom(type)) {
    4. 

  4. return "美女" + "瑶瑶";
    5. 

  5. }
    6. 

  6. return JSONNull.getInstance();
    7. 

  7. }
    8. 

  8. }






以上两个类用于处理当value为null的时候该如何输出。


还准备了两个普通的自定义bean


PlainObjectHolder:




  1. public class PlainObjectHolder {
    2. 

  2. private PlainObject object; // 自定义类型
    3. 

  3. private Integer a; // JDK自带的类型
    4. 

  4. public PlainObject getObject() {
    5. 

  5. return object;
    6. 

  6. }
    7. 

  7. public void setObject(PlainObject object) {
    8. 

  8. this.object = object;
    9. 

  9. }
    10. 

  10. public Integer getA() {
    11. 

  11. return a;
    12. 

  12. }
    13. 

  13. public void setA(Integer a) {
    14. 

  14. this.a = a;
    15. 

  15. }
    16. 

  16. }






PlainObject 也是我自己定义的类




  1. public class PlainObject {
    2. 

  2. private String memberId;
    3. 

  3. private String sex;
    4. 

  4. public String getMemberId() {
    5. 

  5. return memberId;
    6. 

  6. }
    7. 

  7. public void setMemberId(String memberId) {
    8. 

  8. this.memberId = memberId;
    9. 

  9. }
    10. 

  10. public String getSex() {
    11. 

  11. return sex;
    12. 

  12. }
    13. 

  13. public void setSex(String sex) {
    14. 

  14. this.sex = sex;
    15. 

  15. }
    16. 

  16. }






A,如果JSONObject.fromObject(null) 这个参数直接传null进去,json-lib会怎么处理:




  1. public static JSONObject fromObject( Object object, JsonConfig jsonConfig ) {
    2. 

  2. if( object == null || JSONUtils.isNull( object ) ){
    3. 

  3. return new JSONObject( true );




 public static JSONObject fromObject( Object object, JsonConfig jsonConfig ) {

      if( object == null || JSONUtils.isNull( object ) ){

         return new JSONObject( true );


看代码是直接返回了一个空的JSONObject,没有用到任何默认值输出。


B,其次,我们看如果java对象直接是一个JDK中已经有的类(什么指 Enum,Annotation,JSONObject,DynaBean,JSONTokener,JSONString,Map,String,Number,Array),但是值为null ,json-lib如何处理


JSONObject.java




  1. }else if( object instanceof Enum ){
    2. 

  2. throw new JSONException( "'object' is an Enum. Use JSONArray instead" ); // 不支持枚举
    3. 

  3. }else if( object instanceof Annotation || (object != null && object.getClass()
    4. 

  4. .isAnnotation()) ){
    5. 

  5. throw new JSONException( "'object' is an Annotation." ); // 不支持 注解
    6. 

  6. }else if( object instanceof JSONObject ){
    7. 

  7. return _fromJSONObject( (JSONObject) object, jsonConfig );
    8. 

  8. }else if( object instanceof DynaBean ){
    9. 

  9. return _fromDynaBean( (DynaBean) object, jsonConfig );
    10. 

  10. }else if( object instanceof JSONTokener ){
    11. 

  11. return _fromJSONTokener( (JSONTokener) object, jsonConfig );
    12. 

  12. }else if( object instanceof JSONString ){
    13. 

  13. return _fromJSONString( (JSONString) object, jsonConfig );
    14. 

  14. }else if( object instanceof Map ){
    15. 

  15. return _fromMap( (Map) object, jsonConfig );
    16. 

  16. }else if( object instanceof String ){
    17. 

  17. return _fromString( (String) object, jsonConfig );
    18. 

  18. }else if( JSONUtils.isNumber( object ) || JSONUtils.isBoolean( object )
    19. 

  19. || JSONUtils.isString( object ) ){
    20. 

  20. return new JSONObject();  // 不支持纯数字
    21. 

  21. }else if( JSONUtils.isArray( object ) ){
    22. 

  22. throw new JSONException( "'object' is an array. Use JSONArray instead" ); //不支持数组,需要用JSONArray替代
    23. 

  23. }else{




 


根据以上代码,主要发现_fromMap是不支持使用DefaultValueProcessor 的。


原因看代码:


JSONObject.java




  1. if( value != null ){ //大的前提条件,value不为空
    2. 

  2. JsonValueProcessor jsonValueProcessor = jsonConfig.findJsonValueProcessor(
    3. 

  3. value.getClass(), key );
    4. 

  4. if( jsonValueProcessor != null ){
    5. 

  5. value = jsonValueProcessor.processObjectValue( key, value, jsonConfig );
    6. 

  6. if( !JsonVerifier.isValidJsonValue( value ) ){
    7. 

  7. throw new JSONException( "Value is not a valid JSON value. " + value );
    8. 

  8. }
    9. 

  9. }
    10. 

  10. setValue( jsonObject, key, value, value.getClass(), jsonConfig );








  1. private static void setValue( JSONObject jsonObject, String key, Object value, Class type,
    2. 

  2. JsonConfig jsonConfig ) {
    3. 

  3. boolean accumulated = false;
    4. 

  4. if( value == null ){ // 当 value为空的时候使用DefaultValueProcessor
    5. 

  5. value = jsonConfig.findDefaultValueProcessor( type )
    6. 

  6. .getDefaultValue( type );
    7. 

  7. if( !JsonVerifier.isValidJsonValue( value ) ){
    8. 

  8. throw new JSONException( "Value is not a valid JSON value. " + value );
    9. 

  9. }
    10. 

  10. }
    11. 

  11. ……




 


根据我的注释, 上面的代码显然是存在矛盾。


_fromDynaBean是支持DefaultValueProcessor的和下面的C是一样的。


C,我们看如果 java 对象是自定义类型的,并且里面的属性包含空值(没赋值,默认是null)也就是上面B还没贴出来的最后一个else




  1. else {return _fromBean( object, jsonConfig );}






我写了个测试类:




  1. public static void testDefaultValueProcessor() {
    2. 

  2. PlainObjectHolder holder = new PlainObjectHolder();
    3. 

  3. JsonConfig config = new JsonConfig();
    4. 

  4. config.registerDefaultValueProcessor(PlainObject.class,
    5. 

  5. new MyPlainObjectProcessor());
    6. 

  6. config.registerDefaultValueProcessor(Integer.class,
    7. 

  7. new MyDefaultIntegerValueProcessor());
    8. 

  8. JSONObject json = JSONObject.fromObject(holder, config);
    9. 

  9. System.out.println(json);
    10. 

  10. }






这种情况的输出值是 {"a":9999,"object":"美女瑶瑶"}
即两个Processor都起作用了。


========================== Json To Java ===============


一,ignoreDefaultExcludes




  1. public static void json2java() {
    2. 

  2. String jsonString = "{'name':'hello','class':'ddd'}";
    3. 

  3. JsonConfig config = new JsonConfig();
    4. 

  4. config.setIgnoreDefaultExcludes(true); // 与JAVA To Json的时候一样,不设置class属性无法输出
    5. 

  5. JSONObject json = (JSONObject) JSONSerializer.toJSON(jsonString,config);
    6. 

  6. System.out.println(json);
    7. 

  7. }






========================== JSON 输出的安全问题 ===============


我们做程序的时候主要是使用 Java To Json的方式,下面描述的是 安全性问题:




  1. @SuppressWarnings("unchecked")
    2. 

  2. public static void testSecurity() {
    3. 

  3. Map map = new HashMap();
    4. 

  4. map.put("\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {", "");
    5. 

  5. JSONObject jsonObject = JSONObject.fromObject(map);
    6. 

  6. System.out.println(jsonObject);
    7. 

  7. }









  1. public static void main(String[] args) {
    2. 

  2. JsonTest.testSecurity();
    3. 

  3. }






输出的内容:






{"\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {":"" }






如果把这段内容直接贴到记事本里面,命名为 testSecu.html ,然后用浏览器打开发现执行了其中的 js脚本。这样就容易产生XSS安全问题。


												


											
json-lib 之jsonConfig详细使用(转载写的不错)的更多相关文章
	

    
								
  1. JSON lib 里JsonConfig详解
		
    一,setCycleDetectionStrategy 防止自包含 /** * 这里测试如果含有自包含的时候需要CycleDetectionStrategy */ public static void ...
    
		
    2. 
						
  2. 使用JsonConfig控制JSON lib序列化
		
    将对象转换成字符串,是非常常用的功能,尤其在WEB应用中,使用 JSON lib 能够便捷地完成这项工作.JSON lib能够将Java对象转成json格式的字符串,也可以将Java对象转换成xml格 ...
    
		
    3. 
						
  3. Atitit.json类库的设计与实现 ati json lib
		
    Atitit.json类库的设计与实现 ati json lib 1. 目前jsonlib库可能有问题,可能版本冲突,抛出ex1 2. 解决之道:1 2.1. 自定义json解析库,使用多个复合的js ...
    
		
    4. 
						
  4. Json lib集成stucts2的使用方法    抛出 NestableRuntimeException异常的解决办法
		
    首先贴出struts 2.3.16需要导入的包 因为使用的是2.3 版本,必须要导入这个包,否则会报java.lang.NoClassDefFoundError: org/apache/commons ...
    
		
    5. 
						
  5. C# json反序列化 对象中嵌套数组 (转载)   可能会导致循环或多重级联路径。请指定 ON DELETE NO ACTION 或 ON UPDATE NO ACTION,或修改其他 FOREIGN KEY 约束。
		
    C# json反序列化 对象中嵌套数组 (转载)   看图: 这里可以看到是二层嵌套!!使用C#如何实现?? 思路:使用list集合实现 → 建立类 → list集合 → 微软的   Newtonso ...
    
		
    6. 
						
  6. 关于Spring MVC写的不错的几篇博客
		
    关于Spring MVC写的不错的几篇博客 https://my.oschina.net/kolbe/blog/509810 https://www.cnblogs.com/sunniest/p/45 ...
    
		
    7. 
						
  7. Linux各目录及每个目录的详细介绍(转载)
		
    [常见目录说明] 目录 /bin 存放二进制可执行文件(ls,cat,mkdir等),常用命令一般都在这里. /etc 存放系统管理和配置文件 /home 存放所有用户文件的根目录,是用户主目录的基点 ...
    
		
    8. 
						
  8. python正则表达式re模块详细介绍--转载
		
    本模块提供了和Perl里的正则表达式类似的功能,不关是正则表达式本身还是被搜索的字符串,都可以是Unicode字符,这点不用担心,python会处理地和Ascii字符一样漂亮. 正则表达式使用反斜杆( ...
    
		
    9. 
						
  9. 使用Varnish代替Squid做网站缓存加速器的详细解决方案----转载
		
    [文章作者:张宴 本文版本:v1.2 最后修改:2008.01.02 转载请注明出处:http://blog.s135.com] 我曾经写过一篇文章──<初步试用Squid的替代产品──Varn ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 接口测试基础——第6篇unittest模块(三)
			
    今天是unittest最后一讲,我们解决一下如何只运行一次setUp和tearDown方法以及简单的数据驱动的知识. 1.只运行一次setUp和tearDown方法 很简单,只需要把setUp和tea ...
    
			
    2. 
						
  2. php基础语法(数据类型、运算符)
			
    数据类型 标量类型: int, float, string, bool 复合类型: array, object 特殊类型: null, resouce 整数类型int, integer 字符串类型st ...
    
			
    3. 
						
  3. Linux下gdb线程的调试
			
    多线程的调试命令 1.info threads: 这条命令显示的是当前可调试的所有线程,GDB会给每一个线程都分配一个ID.前面有*的线程是当前正在调试的线程. 2.thread ID: 切换到当前调 ...
    
			
    4. 
						
  4. Vim使用YouCompleteMe达到类似IDE的代码提示、补全,以及其他实用设置
			
    接触Linux有两年了,vim还是只会简单的操作.最近实在受不了sublime的代码提示,决定花点时间来配置下vim.本文讲自己认为方便的vim配置,称不上完美,只讲究简单实用. 使用 ctags 主 ...
    
			
    5. 
						
  5. CentOS6.5安装中文支持
			
    本人在安装CentOS6.5时选择是英文版,安装后打开文档,发现好些文档成了乱码了. 这个问题的原因是没有中文支持. 解决方法: 1.安装中文支持包 # yum groupinstall " ...
    
			
    6. 
						
  6. WebApi FormData+文件长传 异步+同步实现
			
    // POST api/values public async Task Post() { try { // 检查该请求是否含有multipart/form-data if (!Request.Con ...
    
			
    7. 
						
  7. Java中的强制类型转换
			
    例如,当程序中需要将 double 型变量的值赋给一个 int 型变量,该如何实现呢? 显然,这种转换是不会自动进行的!因为 int 型的存储范围比 double 型的小.此时就需要通过强制类型转换来 ...
    
			
    8. 
						
  8. POJ 2991 Crane(线段树)
			
    Crane Time Limit: 2000MS   Memory Limit: 65536K Total Submissions: 7687   Accepted: 2075   Special J ...
    
			
    9. 
						
  9. hive默认分隔符引起的日志分割问题
			
    Hive中的外部表 对于Hive中的外部表来说,因为表是外部的,Hive认为其并不拥有这份数据,删除该表并不会真正删除其中的数据,其中的表描述元信息会被删除掉.   对数据进行分区后,对于管理表,可以 ...
    
			
    10. 
						
  10. 第六章  hbase shell 命令
			
    hbase shell命令                             描述  alter 修改列族(Column Family)模式 count 统计表中行的数量 create 创建表  ...
    
			
    11.