fastjson 泛型类反序列化

fastjson 1.2.24 存在反序列化漏洞，攻击者可以利用该漏洞执行任意命令。该漏洞的原因是 fastjson 在反序列化时未对恶意数据进行足够的校验，导致攻击者可以构造恶意数据，使其被 fastjson 解析时执行任意命令。建议用户尽快升级 fastjson 版本，或者采取其他安全措施来防范该漏洞的攻击。

相关问题

java fastjson 泛型类反序列化

在Java中使用fastjson进行泛型类的反序列化，你可以按照以下步骤进行操作：

首先，确保你已经引入了fastjson的依赖，可以通过Maven等构建工具添加以下依赖项：

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.79</version>
</dependency>

接下来，假设你有一个泛型类`Result<T>`，如下所示：

import com.alibaba.fastjson.JSON;

public class Result<T> {
    private int code;
    private String message;
    private T data;

    public Result(int code, String message, T data) {
        this.code = code;
        this.message = message;
        this.data = data;
    }

    public int getCode() {
        return code;
    }

    public String getMessage() {
        return message;
    }

    public T getData() {
        return data;
    }

    public static <T> Result<T> fromJson(String json, Class<T> clazz) {
        return JSON.parseObject(json, new TypeReference<Result<T>>(clazz) {}.getType());
    }
}

在上述代码中，`fromJSON`方法使用fastjson的`parseObject`方法将JSON字符串反序列化为`Result<T>`对象。

然后，你可以使用以下代码将JSON字符串反序列化为具体的泛型类对象：

import com.alibaba.fastjson.JSON;

public class Main {
    public static void main(String[] args) {
        String json = "{\"code\":200,\"message\":\"Success\",\"data\":{\"name\":\"John\",\"age\":25}}";
        Result<User> result = Result.fromJson(json, User.class);

        System.out.println("Code: " + result.getCode());
        System.out.println("Message: " + result.getMessage());

        User user = result.getData();
        System.out.println("Name: " + user.getName());
        System.out.println("Age: " + user.getAge());
    }
}

在上述代码中，我们将一个包含`User`对象的JSON字符串反序列化为`Result<User>`对象，并输出其中的字段值。

请注意，为了正确反序列化泛型类，我们需要通过传递`Class<T>`参数给`fromJSON`方法来指定具体的泛型类型。

以上就是使用fastjson进行泛型类反序列化的基本示例。当然，根据实际需求和数据结构的复杂程度，你可能需要进行更多的定制和处理。

fastjson 复杂对象 反序列化

当涉及到复杂对象的反序列化时，Fastjson同样提供了相应的方法来处理。复杂对象通常包含嵌套的对象、集合或数组。下面是一个示例代码，演示了如何使用Fastjson进行复杂对象的反序列化：

import com.alibaba.fastjson.JSON;

public class FastjsonDemo {
    public static void main(String[] args) {
        String jsonStr = "{\"name\":\"John\",\"age\":30,\"city\":\"New York\",\"pets\":[{\"name\":\"Tom\",\"age\":2},{\"name\":\"Jerry\",\"age\":1}]}";

        // 反序列化
        Person person = JSON.parseObject(jsonStr, Person.class);

        System.out.println(person.getName());  // 输出：John
        System.out.println(person.getAge());   // 输出：30
        System.out.println(person.getCity());  // 输出：New York

        for (Pet pet : person.getPets()) {
            System.out.println(pet.getName());  // 输出：Tom，Jerry
            System.out.println(pet.getAge());   // 输出：2，1
        }
    }
}

class Person {
    private String name;
    private int age;
    private String city;
    private List<Pet> pets;

    // 省略构造器、getter和setter方法
}

class Pet {
    private String name;
    private int age;

    // 省略构造器、getter和setter方法
}

在上面的示例中，我们将一个包含嵌套对象的JSON字符串反序列化为一个Person对象。Person类中包含了一个List类型的pets字段，pets字段是一个包含了多个Pet对象的集合。通过调用`JSON.parseObject()`方法，Fastjson会自动将JSON字符串中的嵌套对象转换为相应的Java对象。

需要注意的是，Fastjson在处理嵌套对象时需要保证嵌套对象的类结构与JSON字符串的结构相匹配，即字段名和类型要一致。否则，可以使用`@JSONField`注解来进行映射或者使用`TypeReference`类来处理复杂泛型类型。