软件编程
位置:首页>> 软件编程>> java编程>> 解决fastjson从1.1.41升级到1.2.28后报错问题详解

解决fastjson从1.1.41升级到1.2.28后报错问题详解

作者:漫夭  发布时间:2021-12-30 21:55:35 

标签:fastjson

最近因为fastjson安全漏洞,升级jar包时,踩了一些坑。

新版本FastJsonHttpMessageConverter初始化,默认设置MediaType为*/*

背景:

使用Spring RestTemplate,配置如下:


 <bean id="restTemplate" class="org.springframework.web.client.RestTemplate">
   <constructor-arg ref="ky.clientHttpRequestFactory"/>
   <property name="errorHandler">
     <bean class="org.springframework.web.client.DefaultResponseErrorHandler"/>
   </property>
   <property name="messageConverters">
     <list>
       <bean class="org.springframework.http.converter.FormHttpMessageConverter"/>
       <bean class="cn.com.autodx.common.jsonView.ViewAwareJsonMessageConverter">
       </bean>
       <bean class="org.springframework.http.converter.StringHttpMessageConverter">
         <property name="supportedMediaTypes">
           <list>
             <value>text/html;charset=UTF-8</value>
             <value>application/json</value>
             <value>text/javascript;charset=utf-8</value>
           </list>
         </property>
       </bean>
     </list>
   </property>
 </bean>

其中ViewAwareJsonMessageConverter继承自FastJsonHttpMessageConverter。

fastjson从1.1.41升级到1.2.28之后,请求报错:


json java.lang.IllegalArgumentException: 'Content-Type' cannot contain wildcard type '*'

原因是在1.1.41中,FastJsonHttpMessageConverter初始化时,设置了MediaType。


 public FastJsonHttpMessageConverter(){
   super(new MediaType("application", "json", UTF8), new MediaType("application", "*+json", UTF8));
 }

而在1.2.28中,设置的MediaType为‘/',即:


 public FastJsonHttpMessageConverter() {
   super(MediaType.ALL); // */*
 }

后续在org.springframework.http.converter.AbstractHttpMessageConverter.write过程中,又要判断Content-Type不能含有通配符,这应该是一种保护机制,并强制用户自己配置MediaType。代码如下:


 @Override
 public final void write(final T t, MediaType contentType, HttpOutputMessage outputMessage)
     throws IOException, HttpMessageNotWritableException {
   final HttpHeaders headers = outputMessage.getHeaders();
   if (headers.getContentType() == null) {
     MediaType contentTypeToUse = contentType;
     if (contentType == null || contentType.isWildcardType() || contentType.isWildcardSubtype()) {
       contentTypeToUse = getDefaultContentType(t);
     }
     if (contentTypeToUse != null) {
     //设置Content-Type,不允许含有通配符
       headers.setContentType(contentTypeToUse);
     }
   }
   ......
   if (outputMessage instanceof StreamingHttpOutputMessage) {
     ......
   }else {
   //自定义MessageConverter的write操作
     writeInternal(t, outputMessage);
     outputMessage.getBody().flush();
   }
 }
 public void setContentType(MediaType mediaType) {
   Assert.isTrue(!mediaType.isWildcardType(), "'Content-Type' cannot contain wildcard type '*'");
   Assert.isTrue(!mediaType.isWildcardSubtype(), "'Content-Type' cannot contain wildcard subtype '*'");
   set(CONTENT_TYPE, mediaType.toString());
 }

所以,需要为ViewAwareJsonMessageConverter设置supportedMediaTypes:


<bean class="cn.com.autodx.common.jsonView.ViewAwareJsonMessageConverter">
 <property name="supportedMediaTypes">
   <list>
     <value>application/json;charset=UTF-8</value>
     <value>application/*+json;charset=UTF-8</value>
   </list>
 </property>
</bean>

新版本序列化默认不再对字段进行排序

这个是一个签名算法的场景:客户端对参数进行序列化,然后md5加密成一个签名;服务端按照相同的算法解析一遍参数,对比签名值。这里加密依赖json序列化之后的字符串,也就依赖序列化时字段的排序。

这是fastjson做了一个性能优化,将排序需求抽象出一个SerializerFeature,供用户自己配置。如果需要排序场景,在序列化时添加参数SerializerFeature.MapSortField即可,即:


JSON.toJSONString(obj, SerializerFeature.MapSortField);

官方文档

1.2.3之后的版本,Map的序列化没有做排序再输出,原因是通过TreeMap排序很影响性能。

1.2.27版本中增加SerializerFeature.MapSortField实现同样的功能。

使用方法如下:

a) 传入SerializerFeature.MapSortField参数。 JSON.toJSONString(map, SerializerFeature.MapSortField);

b) 通过代码修改全局缺省配置。 JSON.DEFAULT_GENERATE_FEATURE |= SerializerFeature.MapSortField.getMask();

c) 通过JVM启动参数配置修改全局配置 -Dfastjson.serializerFeatures.MapSortField=true

d) 通过类路径下的fastjson.properties来配置 fastjson.serializerFeatures.MapSortField=true

新老版本序列化和反序列化不兼容,会出乱码。

来源:https://www.cnblogs.com/shoren/p/fastjson.html

0
投稿

猜你喜欢

手机版 软件编程 asp之家 www.aspxhome.com