关于一种fastjson的死循环情况记录

最新推荐文章于 2024-12-15 17:42:37 发布
原创 最新推荐文章于 2024-12-15 17:42:37 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文记录了一种使用fastjson进行接口转换时出现的StackOverflow错误现象。当在get方法内部再次使用fastjson进行json转换时,会导致无限递归直至栈溢出。文中详细解释了错误发生的原因,并提供了错误代码实例。

关于一种fastjson的死循环情况记录

最近在一次项目中,使用fastjson做接口转换中,碰到了一个Stack Overflow。发现在getxxx方法内如果再次嵌套使用fastjson作json转换,就会无限循环。

错误实例:

1 class IAmStupid{
2     private String a;
3     public String getJson(){
4         return JSON.toJSONString(this);
5     }    
6 }

 

原因:fastjson底层获取bean数据序列化时,在ASMSerializerFactory的createJavaBeanSerializer方法中,会获取bean的getter方法。然后调用get方法获取数据,在调用getJson时,会再次进入this的序列化,依次循环嵌套,最终栈溢出。

有兴趣的可以试一下,并跟进代码。

 

posted @ 2018-03-22 19:25 Code-Juggler 阅读( ...) 评论( ...) 编辑 收藏
Code-Juggler
关注
相关业务问题+系统问题+设计问题整理统计
曾经“等你生日那天”都遥远得像未来,如今却可欢愉的挥手说“下个十年见”
04-07 172万+
业务系统及其他相关面试问题整理:线上相关问题排查+高并发系统的限流+高并发秒杀系统设计+负载均衡+一个网站有 20 亿 url 存在一个黑名单中,这个黑名单要怎么存?若此时随便输入一个 url,你如何快速判断该 url 是否在这个黑名单中?并且需在给定内存空间(比如:500M)内快速判断出?
SpringBoot使用Redis 数据访问(单点、集群、哨兵、连接池、Pipline、分布式框架Redisson、解决方案)
纸上得来终觉浅,绝知此事要躬行
04-29 2773
Redis操作是单线程的,使用连接池可以减少连接的创建,redis连接池有两种方式:Jedis(JedisPool) 和 Lettuce(LettucePool)。Lettuce 和 Jedis 的定位都是Redis的client,所以他们当然可以直接连接redis server。在Lettuce和Jedis之外还有Redission ,Redisson:实现了分布式和可扩展的Java数据结构。...
解决fastjson循环引用问题(死循环
是夜色太荒芜的专栏
06-17 6385
在双向映射的一方向中添加“@JSONField(serialize=false)”。@JSONField(serialize = false) public java.util.Set<CmsDocReceiveFile> getCmsDocReceiveFiles() { return cmsDocReceiveFiles; }
fastjson解析树结构对象死循环问题
qq_32806781的博客
06-09 441
JSON问题解决
JSON死循环解决办法
07-02
北大青鸟版!JSON死循环解决办法!最全的JSON解决死循环的三种方式!
SpringBoot: 解决Jpa双向1对多造成的死循环.以及 fastjson解析json对象出现$ref: "$"
手写我对你的温柔
12-01 4413
这里的业务场景是一个用户User对应多条动态,且多条动态属于1个用户。即常见的双向1对多或者双向多对1. 看到jackson就应该知道应该是JPA 中的实体类在处理映射关系,例如一对多的关系时,打印本类时会打印对方类,然后打印对方类又会调用本类,就出现相互调用,进入无限循环情况,那么必然是序列化的问题了。 解决办法: 破坏某一方的 toStri...
FastJson稍微使用不当就会导致StackOverflow
HollisChuang's Blog
11-11 2796
GitHub 9.4k Star 的Java工程师成神之路 ,不来了解一下吗? GitHub 9.4k Star 的Java工程师成神之路 ,真的不来了解一下吗? GitHub 9.4k Star 的Java工程师成神之路 ,真的确定不来了解一下吗? 对于广大的开发人员来说,FastJson大家一定都不陌生。 FastJson(https://github.com/alibaba/fastjson...
FastJson反序列化学习-01
weixin_44770698的博客
12-15 1579
Fastjson反序列化学习-01
fastjson源码--进大厂的最后一脚
weixin_41563161的博客
12-24 1288
fastjson源码–进大厂的最后一脚 1.序 记得春招面试的时候的面试官问有读过什么源码没有,自己只是稍微看了一下fastjson的,并且当时最尴尬的是自己对着自己的笔记给面试官读的,然后就顺利的拿下了大厂的offer。所以源码还是值得读的。读源码会让我们有更多的思考在里面,学习的设计思想的魅力。今天就把fastjson整理一下。 2.详细 2.1 JSON 2.1.1 什么是JSON 让我们先来认识一下JSON是什么。以下是百度百科的内容。 简单来说, Json是一种轻量级的数据交换格式,采用一种“键
【网络安全】利用Fastjson注入Spring内存马
HBohan的博客
11-10 1576
此篇文章在于记录自己对spring内存马的实验研究【点击查看→资料】 一、环境搭建 搭建漏洞环境,利用fastjson反序列化,通过JNDI下载恶意的class文件,触发恶意类的构造函数中代码,注入controller内存马。 1)组件版本: fastjson: 1.2.24 spring-mvc: 4.3.28.RELEASE JDK: 8u121 2)搭建springMVC+fastjson漏洞环境 可以参考网上的入门文章进行搭建,这里我放出我自己环境的配置文件 web.xml <servle.
FastJson的使用
玩垃圾的人
10-13 806
今天学习了FastJson记录下 ,避免以后忘记。 fastjson只有一个jar包,我用的是:fastjson-1.2.8.jar。 简单对象转换 List对象的转换 这里需要说明的是,转成的json是一个数组 List禁止循环引用 在list对象中,如果加入了2个相同的对象,会进行循环引用。如果不禁止循环引用,那么到页面的数据将会变成ref那个不能解析的
FastJson的坑--"$ref"重复引用循环引用
fanhhh的博客
12-08 1780
在开发的过程中使用FastJson进行json数据处理可能会碰到重复引用循环引用的问题,下面提供了几个解决思路。 首先看一个小demo,证明证明fastJson转map 和对象,结果是一样的,之后的演示为了方便,使用map集合代替对象。 @Test public void mapToJson(){ Map map = new HashMap(); ...
原创 | FastJson稍微使用不当就会导致StackOverflow
HollisChuang's Blog
11-11 870
△Hollis, 一个对Coding有着独特追求的人△这是Hollis的第235篇原创分享作者 l Hollis来源 l Hollis(ID:hollischuang)对于广大的开发人员来说,FastJson大家一定都不陌生。FastJson(https://github.com/alibaba/fastjson)是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java ...
记一次fastJson.toJson 栈溢出错误StackOverflowError
ZhiMaHuyizhi的博客
04-15 2117
场景:在视图将某个字典对象转化为Json对象时报栈溢出错误原因分析:对象转 JSON 可发栈溢出错误,一般是因为对象中的循环引用引起的 可能时相互引用成环: class A{ B b; } class B{ A a; } 也可能是自引用成环 class A{ A a; } 实际原因:字典类父类中引用了User类,User类中引用了Office类,Office类又引用了User类,造成循环引用导致栈溢出错误 class Dict { User user; } class
fastjson的JSONOject.toJSONString(object) 死机的问题
bu1216shi的博客
11-30 1998
fastjson的JSONOject.toJSONString(object) 死机的问题 现象:日志里出现无穷尽的这句日志,这句话在一行,大约400M,让log4j都来不及分割。class com.*.model.classifyMark, fieldName : parent, write javaBean error, fastjson version 1.2.70, class 内存溢出以及死机 经排查 JSONOject.toJSONString(object) ,而object对象中的一个属性是
fastjson 打印堆栈溢出问题
project_shuai的博客
05-06 731
fastjson 打印默认是根据get方法进行输出的,如果一个类中属性是自己,然后返回的不是空,会打印返回的类,导致无限循环执行此方法。
fastjson的这些坑,你误入了没?
一猿小讲
06-25 7446
背景:最近 fastjson 被爆出新的远程代码执行漏洞之后,赶紧督促项目组快马加鞭去修改(吐槽:真改不动,架不住项目既多又老),鉴于项目不同,依赖的 fastjson 版本也不同,本次...
FastJson循环引用问题
VINO的专栏
04-17 9943
什么是循环引用和重复引用重复引用:一个对象中的多个属性同时引用同一个对象 例如: Object obj=new Object(); Map<String,Object> map=new HashMap<>(); map.put("1", obj); map.put("2", obj);//引用了同一个对象 System.
fastjson反序列化死循环
最新发布
01-07
### Fast 反序列化死循环解决方案 当处理 fast 序列化和反序列化的场景时,如果存在复杂的对象图结构(特别是有环形引用的对象),可能会遇到死循环问题。为了防止这种情况发生,一种常见的方法是在反序列化过程中引入唯一性检查机制。 具体实现方式可以通过维护一个已访问过的对象映射表,在每次创建新实例之前先查询该表是否存在相同标识的对象。这能有效避免重复构建同一对象而导致无限递归的情况[^1]。 以下是基于此思路的一个简化版 Java 实现: ```java import java.util.HashMap; import java.util.Map; public class SafeDeserializer<T> { private final Map<String, Object> visitedObjects = new HashMap<>(); @SuppressWarnings("unchecked") public T deserialize(String objectId, Class<T> clazz) throws Exception { // 如果已经存在,则直接返回已有对象 if (visitedObjects.containsKey(objectId)) { return (T) visitedObjects.get(objectId); } // 创建新的对象并加入到已访问列表中 T instance = clazz.getDeclaredConstructor().newInstance(); visitedObjects.put(objectId, instance); // 继续填充其他属性... return instance; } } ``` 通过这种方式可以在很大程度上减少甚至消除由复杂对象关系引起的反序列化过程中的潜在风险。同时建议开发者仔细审查数据模型设计,尽可能简化对象之间的依赖关系,从而从根本上降低此类问题发生的可能性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值