fastJson反序列化时如何去除空字符串
时间: 2023-07-18 16:36:34 浏览: 104
在 fastJson 反序列化时,可以通过在字段上添加 `@JSONField(serialize=false)` 注解,来忽略该字段的序列化操作,从而达到去除空字符串的效果。例如:
```java
public class Person {
@JSONField(serialize=false)
private String name; // 名字
private int age; // 年龄
// 省略 getter 和 setter 方法
}
```
在上述代码中,`name` 字段上添加了 `@JSONField(serialize=false)` 注解,这样在将 JSON 字符串反序列化成 `Person` 对象时,如果该字符串中包含空字符串对应的字段,那么该字段将会被忽略掉,不会反序列化到 `Person` 对象中。
相关问题
fastjson 反序列化 空字符串报错
fastjson是一个Java语言编写的高性能JSON处理库,它提供了丰富的功能和灵活的API,可以方便地进行JSON的序列化和反序列化操作。
在fastjson中,当进行反序列化操作时,如果遇到空字符串(""),会抛出异常。这是因为fastjson默认情况下不支持将空字符串转换为Java对象,而是期望一个有效的JSON值。
如果你想要在反序列化时忽略空字符串,可以通过配置fastjson的特性来实现。具体做法是使用`Feature.IgnoreEmptyString`特性,示例如下:
```java
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.Feature;
public class FastJsonDemo {
public static void main(String[] args) {
String jsonString = "{\"name\":\"Alice\",\"age\":\"\"}";
// 设置忽略空字符串特性
JSON.parseObject(jsonString, User.class, Feature.IgnoreEmptyString);
// 此时不会抛出异常
}
}
class User {
private String name;
private int age;
// 省略getter和setter方法
}
```
通过设置`Feature.IgnoreEmptyString`特性,fastjson会在反序列化时忽略空字符串,并将其转换为默认值或者null。
fastJson反序列化时防止Json注入的具体做法
FastJson提供了一些功能来防止JSON注入,主要有以下几种方法:
1. 使用AutoType白名单限制反序列化对象的类型
可以通过设置AutoType白名单来限制FastJson反序列化时可以接受的对象类型。只有在白名单中注册的类型才会被FastJson反序列化。这样可以防止攻击者通过构造恶意的JSON字符串来注入非法对象。
设置白名单的代码如下:
```java
ParserConfig.getGlobalInstance().addAccept("com.example.User");
```
上面的代码表示只允许反序列化com.example.User类的对象。
2. 使用特定的反序列化器
FastJson提供了多种反序列化器,可以根据不同的需求选择合适的反序列化器。其中,ASMDeserializer是默认的反序列化器,也是最快的反序列化器。但是,ASMDeserializer不支持AutoType白名单机制,容易受到JSON注入攻击。
因此,在需要防止JSON注入的场景下,可以使用其他反序列化器,例如Jdk8ObjectDeserializer或JavaBeanDeserializer。这些反序列化器支持AutoType白名单机制,可以有效防止JSON注入攻击。
使用特定的反序列化器的代码如下:
```java
String json = "{\"@type\":\"com.example.User\",\"name\":\"Tom\",\"age\":20}";
Object obj = JSON.parseObject(json, Object.class, new Jdk8ObjectDeserializer(ParserConfig.getGlobalInstance()));
```
上面的代码使用Jdk8ObjectDeserializer反序列化JSON字符串。
3. 自定义反序列化过滤器
FastJson提供了反序列化过滤器功能,可以在反序列化时对JSON字符串进行过滤,只保留指定的属性。这样可以有效防止攻击者通过构造恶意的JSON字符串来注入非法属性。
自定义反序列化过滤器的代码如下:
```java
public class MyFilter implements PropertyPreFilter {
private Set<String> includes = new HashSet<>();
public MyFilter(String... props) {
includes.addAll(Arrays.asList(props));
}
@Override
public boolean apply(JSONSerializer serializer, Object object, String name) {
if (includes.contains(name)) {
return true;
}
return false;
}
}
String json = "{\"name\":\"Tom\",\"age\":20,\"sex\":\"male\"}";
MyFilter filter = new MyFilter("name", "age");
User user = JSON.parseObject(json, User.class, new ParseProcess() {
@Override
public void process(JSONLexer lexer, Object object, Object fieldName) {
if (object instanceof JSONObject) {
JSONObject jsonObject = (JSONObject) object;
jsonObject.entrySet().removeIf(entry -> !filter.apply(null, object, entry.getKey()));
}
}
});
```
上面的代码定义了一个MyFilter类,用于过滤JSON字符串中的非法属性。然后使用自定义的反序列化过滤器对JSON字符串进行过滤,只保留指定的属性。