fortify掃描安全漏洞,fastjson安全漏洞

原創 EngineerForSoul 2020-06-23 05:56

Fastjson安全漏洞,升級版本後,引發的問題。

使用fastjson將json字符串轉換成對象   jsonStr:json格式的字符串


(Map<String.Object>)JSONObject.parseObject(jsonStr,Map.class);

 

因fastjson安全漏洞需要升級  升級後   使用上面轉換就出現問題。每次只能將json格式的字符串最外層的內容解析爲object,

如果jsonStr 中包含list對象時,解析出來爲jsonArray 並非Map 對象


例如:retMap.get("SuccessList"); 返回一個JSONArray 對象,其實自己想要的確實一個List<Map>

 

可以嘗試如下方法:項目中嘗試可以實現

//retMap 爲接口返回的數據

String successStr = JSONObject.toJSONString((JSONArray)retMap.get("SuccessList"));
List<Map> successList = JSONObject.parseArray(successStr, Map.class);

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Java8 之stream()操作

目錄 一、stream().filter() 1、案例一 2、案例二 二、Streams 中 filter(), findAny() 和 orElse()的用法 三、Streams中 filter() 和 map()的用法 四、Stre

李布斯·尼古拉斯 2020-07-07 23:54:54

Java8新特性20個常用示例總結

jdk8特性實例備忘     時間日期處理   forEach 循環   stream簡化集合   filter 過濾 https://blog.csdn.net/libusi001/article/details/

李布斯·尼古拉斯 2020-07-07 23:54:43

Java_字節緩衝流紀要

package cn.bufferStream; import java.io.BufferedInputStream; import java.io.BufferedOutputStream; import java.io.File

大雷! 2020-07-07 01:09:36

Java網絡編程之Socket網絡通信

package cn.webSocket.service; import java.io.IOException; import java.io.InputStream; import java.io.OutputStream; i

大雷! 2020-07-07 01:09:26

Java轉換流之編碼處理-亂碼處理紀要

package cn.file; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import

大雷! 2020-07-07 01:09:26

Java_HashMap只能有一個NULL值的原理紀要

package cn.map; import java.util.HashMap; import java.util.Set; /** * 今天整理以下關於HashMap鍵的唯一null規則; * 目標:認識HashMap只能有

大雷! 2020-07-07 01:09:26

Java打印流PrintStream紀要

package cn.file; import java.io.FileNotFoundException; import java.io.PrintStream; /** * 今天整理一個不常用的流; * * 打印流;

大雷! 2020-07-07 01:09:26

Java集合排序|集合對象排序|根據集合中對象的指定屬性進行排序;

package cn.sort; import java.util.ArrayList; import java.util.Collections; import java.util.List; /** * 集合排序; *

大雷! 2020-07-07 01:09:26

Java對象序列化與反序列化操作紀要

package cn.serializable; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException;

大雷! 2020-07-07 01:09:26

JAVA BigInteger類(算法競賽大數無上限)

比賽時候好多時候常遇到大數據題,又懶得模擬,Java中有一個類就是用來處理很大的數據的類(無上限啊啊啊啊真香),爲BigInteger類 下面是BigInteger類常用的方法,基本上所有的操作要轉換成BigInteger對象來進行處理

nuoyanli 2020-07-05 22:36:20

【Java】Java速成

Java速成關於 Java環境安裝WindowsLinux使用包管理器安裝手動安裝MacOS基本語法註釋基本數據類型申明變量final 關鍵字數組字符串輸出控制語句選擇循環注意事項類名與文件名一致 關於 Java Java 是一種

Ljnoit 2020-07-05 02:18:26

[Java,Sybase]jconn3.jar升級到jconn4.jar PreparedStatement Connection.prepareStatement(String)方法性能劣化

0x00 一句話 大量通過prepareStatement方法創建PreparedStatement實例的時候,如果預編譯開關是開着的,那麼每次調用都會產生和DBMS的通信,大量通信導致性能劣化。prepareStatement不

虎猫_EICHO 2020-07-02 22:39:50

[Java小記] 記一下Log的各個級別及其用法

1. Log級別 參考下列表格 Log級別 說明 用法 error 錯誤:系統運行錯誤,無法自行恢復,並且會影響到如下游系統或系統的使用者。一般需要人爲干預才能恢復正常運行。 凌晨2點法則(2AM Rule):當發生

虎猫_EICHO 2020-07-02 22:39:40

[Java] 細數幾種單例的實現方式

文章目錄前言參考什麼是單例模式?JDK裏的單例類單例模式的實現1. 非懶漢實現 (Eager initialization)2. 懶漢實現 (Lazy initialization)3. 同步懶漢實現(Synchronized L

虎猫_EICHO 2020-07-02 22:39:40

[Java] 理解框架的基礎之什麼是Annotation

文章目錄前言參考Annotation(註解)的定義Annotation的作用[實踐] 實現自己的Annotation1. 在運行時會被加載到內存的Annotation2. 在運行時不會被加載到內存的Annotation[實踐] 運

虎猫_EICHO 2020-07-02 22:39:40