属性值有特殊符号导致fastjson反序列化失败处理

最新推荐文章于 2025-04-24 18:28:25 发布
原创 最新推荐文章于 2025-04-24 18:28:25 发布
· 2.2k 阅读 · 2 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

做Java项目有一段时间了,感觉跟.net差别不是太大,遇到个小问题记录一下

1,遇到的问题是,反序列化时候对象属性值带有 & 或者 ‘(单引号)都会导致反序列化失败,并不是Json数据格式的问题

2,解决办法是采用了。这个属性对应的值进行转码处理,试过(uft8,asc)等都不行,后面采用了转 Ascii 码后处理成功

方法如下,注意空值处理

/**
 * 字符串转换为Ascii
 * @param value
 * @return
 */
public static String stringToAscii(String value)
{
    StringBuffer sbu = new StringBuffer();
    char[] chars = value.toCharArray();
    for (int i = 0; i < chars.length; i++) {
        if(i != chars.length - 1)
        {
            sbu.append((int)chars[i]).append(",");
        }
        else {
            sbu.append((int)chars[i]);
        }
    }
    return sbu.toString();
}

/**
 * Ascii转换为字符串
 * @param value
 * @return
 */
public static String asciiToString(String value)
{
    StringBuffer sbu = new StringBuffer();
    String[] chars = value.split(",");
    for (int i = 0; i < chars.length; i++) {
        sbu.append((char) Integer.parseInt(chars[i]));
    }
    return sbu.toString();
}
Java 序列化详解
悦分享
10-26 1311
Java核心技术
常见的序列化框架及Protobuf原理
2301_79655511的博客
04-20 394
这里附上上述的技术体系图相关的几十套腾讯、头条、阿里、美团等公司2021年的面试题,把技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,这里以图片的形式给大家展示一部分。当程序员容易,当一个优秀的程序员是需要不断学习的,从初级程序员到高级程序员,从初级架构师到资深架构师,或者走向管理,从技术经理到技术总监,每个阶段都需要掌握不同的能力。早早确定自己的职业方向,才能在工作和能力提升中甩开同龄人。
fastJson解析URL中&特殊字符报错
借你一秒
04-09 8635
1.楔子 在做消息推送的时候,突然报出一个fastJosn解析json错误的报错,找了好久都终于发现是因为URL中含有特殊字符需要转义的字符&,导致JSON解析报错。 2.报错信息 网上搜索这个错误,大部分观点是JSON中含有特殊字符。还有人说是fastjson版本,字符串编码等问题,最后被逐一排除,定位到是含有特殊字符& json文件中含有如下的URL: 3.解决方式 定位到...
fastjson转化入参字符串的特殊字段名$ref问题
GuessBUG的博客
10-25 1636
一、问题描述 { "schema": { "originalRef": "Result«object»", "$ref": "#/definitions/Result«object»" } } 入参字符串是json格式,可直接转为JSONObject,由于某个字段是$ref,导致调用fastjson的JSON.parseObject(String text)方法出现问题。 1、问题一:$ref在第一个字段,转化api报错: com.alibaba.fastj
fastjson使用parseObject转换成JSONObject出现将字符特殊字符解析解决
最新发布
m0_60314891的博客
04-24 335
或者使用其他JSON序列化解析工具类。现象:将字符串的${TARGET_VALUE}转换成NULL字符串了。更换fastjson版本。
关于fastjson序列化不可见特殊字符存在的bug
一只蜗牛的博客
01-15 4866
相关博文链接:http://i.dotidea.cn/2014/08/fastjson-serialize-overflow/ 链接摘自某位大神,自己做个备忘 fastjson 1.1.39版本以下(包括1.1.39)在序列化json数据时,如果被序列化的对象中存在某个属性(属性值含有不可见的特殊字符), 会转换失败,报java.lang.ArrayIndexOutOfBoundsExcep
前端问题:JSON.parse遇到&特殊符号导致序列化错误
qq_36223891的博客
03-20 928
若对象的参数或数组的元素中遇到地址,地址中包括?、&这些特殊符号时,对象/数组先要通过JSON.stringify转化为字符串再通过encodeURIComponent编码,接收时,先通过decodeURIComponent解码再通过JSON.parse转换为JSON格式的对象/数组。当我们需要从一个页面转json到下一个页面时 需要注意字段中不要带?和&等特殊符号,否则会遇到Json.parse错误,导致进一步的业务逻辑错误。
FastJSON序列化特殊字符BUG
LCF_lxf_ldy的博客
12-10 2840
at com.alibaba.fastjson.serializer.JSONSerializer.writeWithFieldName(JSONSerializer.java:398) at Serializer_5.write1(Unknown Source) at Serializer_5.write(Unknown Source) at com.alibaba.fastjson.se
fastjson踩坑,遇到无法反序列化奇葩问题
weixin_41003771的博客
11-17 4379
今天利用fastjson TypeReference 反序列化一个对象,发现怎么都没法反序列化成功,具体见代码 需要序列化的对象 public class Result<T> { private static final int defaultCode = Integer.valueOf(0); private int code; private T data...
com.alibaba.fastjson 序列化 反序列
weixin_41563161的博客
03-31 5889
fastjson 序列化反序列 目录 fastjson 序列化反序列 序列化 SerializeWriter成员变量 一 SerializeWriter成员函数 1 序列化整形数字 2 序列化长整形数字 3 序列化浮点类型数字 4 序列化...
红队专题-漏洞挖掘-代码审计-反序列化
aming小老弟
04-21 1999
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2625
Fastjson组件反序列化分析,从基础到RCE的过程笔记
(3)fastjson带有转义字符的数据格式处理
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
03-12 1万+
问题描述: 白天,前端同事跑过来说,你的接口返给前端的是一堆带斜杠转义字符的数据,数据格式未处理哦?然后,仔细一看果然,晃眼。。 具体数据内容不再描述,大致格式如下: "[{\"birthday\":\"2000\",\"major\":[\"挖掘机\",\"炒菜\"],\"name\":\"xiaoming\",\"comment\":\"hello world\",\"age\":25...
fastJSON中@JSONField注解详解
OceanSky的专栏
04-10 9772
查看@JSONField注解的源码可以了解到它的作用范围是在方法(METHOD)、属性(FIELD)、方法中的参数(PARAMETER)上。 1.作用在FIELD(成员变量上) 注意:1、若属性是私有的,必须有set*方法。否则无法反序列化。 package com.zhujie; import com.alibaba.fastjson.JSONObject; import com...
处理服务端返回的特殊字符
沸腾的泪水的专栏
03-02 952
/**  *  处理服务端返回的特殊字符  */ - (NSString *)NewsHtmlEntityDecode: (NSString *)encodedString {     encodedString = [encodedString stringByReplacingOccurrencesOfString:@""" withString:@"\""];    
关于fastJson解析Json字符串的问题: JSONException: exepct '[', but {
热门推荐
无名大白
10-15 2万+
关于fastJson解析Json字符串的问题。JSONException: exepct '[', but { 1种原因是字符串中属性没有双引号  如 [{a:1,b:c},{a:2,b:d}] 这样会造成该错误。 应为:[{"a":1,"b":c},{"a":2,"b":"d"}]  list 被转换为 Object 类型,Object 类型 .tostring() 会造成双引号丢失。 ...
java fastJson 转JSON 两个转义
牛肉胡辣汤
03-06 2564
除了针对特殊字符的转义外,有时我们还需要自定义转义规则,比如将特定的字符序列替换为另一个字符。FastJson提供了接口,可以实现自定义转义逻辑。@Override// 自定义转义规则,将"world"替换为"universe"\"}";在上面的示例中,我们定义了一个自定义的接口实现,重写了process()方法来实现我们的转义规则。在主函数中,我们将这个自定义的转义过滤器传递给方法,以应用自定义的转义逻辑。
JSON && FastJson
齐世伟的博客
02-20 245
JSON 定义:JavaScript Object Notation 的缩写。javaScript对象标识符。 主要用于前后端数据传输的一种数据封装格式。 Json的数据类型 数据结构 对象类型 : Object {}: 使用花括号来表示 【内部是键值对的格式,key必须是string类型,value可以是基本类型,也可以是数据结构类型】。 数组类型 : Array 数组 / 对象数组类型 [{},{},{},...]: 所有的对象包裹在中括号内部,多个元素之间使用逗号分隔。 基本数
json转义
03-15
### 如何正确地对 JSON 数据进行转义处理 JSON 是一种轻量级的数据交换格式,在传输过程中可能会遇到特殊字符需要被转义的情况。以下是关于如何正确对 JSON 数据进行转义处理的相关说明。 #### 使用编程语言内置库实现自动转义 大多数现代编程语言都提供了专门用于处理 JSON 的标准库或第三方库,这些工具能够自动完成必要的转义操作。例如: - **Python**: 可以通过 `json` 模块中的方法来序列化和反序列化 JSON 数据[^3]。 当使用 `json.dumps()` 方法将 Python 字典转换为 JSON 字符串时,该函数会自动处理所有的必要转义。 ```python import json data = {"message": 'I said, "Hello, World!"'} json_str = json.dumps(data) print(json_str) # 输出: {"message": "I said, \"Hello, World!\""} ``` - **Java**: 利用 Fastjson 或 Jackson 这样的流行库可以简化 JSON 处理过程并确保安全性[^4]。 如果需要手动替换某些特定的控制字符(如换行符 `\n`, 回车符 `\r`),则可以在预处理阶段执行正则表达式替代逻辑后再交给 JSON 序列化器处理。 ```java String rawInput = "{\"key\":\"value\\nwith newline\"}"; String sanitizedJson = rawInput.replaceAll("\\\\n|\\\\r", ""); // 去除不希望存在的换行符 JSONObject jsonObject = new JSONObject(sanitizedJson); System.out.println(jsonObject.toString()); ``` #### 手动转义场景下的注意事项 尽管推荐尽可能依赖成熟的框架来进行自动化管理,但在少数情况下可能仍需自行实施额外的安全措施。此时应当遵循以下原则: 1. 对双引号 (`"`) 和反斜杠 (`\`) 实施双重编码; 2. 避免直接嵌套未经验证的内容到最终输出中以防注入攻击风险; 3. 根据实际需求决定是否保留其他类型的空白符号或者功能指令码。 对于 JavaScript 来说,有时服务器端传来的参数里已经包含了 HTML 属性值形式的 JSON 表达式,则客户端接收后还需要再次调整其内部结构以便于进一步解析利用[^5]: ```javascript let escapedDiscographyJsonString = php_params.playlist_setup.replace(/"/g,'"'); const parsedData = JSON.parse(escapedDiscographyJsonString); console.log(parsedData); ``` 综上所述,无论是采用何种技术栈开发应用系统,都应该重视起针对敏感输入项的有效防护机制建设工作,从而保障整个交互流程更加稳健可靠。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值