开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

升级Jackson-databind后，缺少的字段被反序列化为null而不是空对象

，这是因为Jackson-databind在处理反序列化时的默认行为发生了变化。

在旧版本的Jackson-databind中，当JSON中缺少某个字段时，Jackson会将其反序列化为Java对象的空对象（即字段类型的默认值）。但在升级后的版本中，默认行为变为将缺少的字段反序列化为null。

这种变化可能会导致一些代码逻辑出现问题，因为在旧版本中，开发人员可能会依赖缺少的字段被反序列化为空对象来进行判断和处理。为了解决这个问题，可以通过以下几种方式来处理：

使用@JsonInclude注解：可以在类或字段级别上使用@JsonInclude注解，将其设置为非空值。这样，在反序列化时，缺少的字段将被设置为注解指定的非空值而不是null。例如：

@JsonInclude(JsonInclude.Include.NON_NULL)
public class MyClass {
    private String field1;
    private String field2;
    // getters and setters
}

使用@JsonSetter注解：可以在字段的setter方法上使用@JsonSetter注解，将其设置为非空值。这样，在反序列化时，缺少的字段将被设置为注解指定的非空值而不是null。例如：

public class MyClass {
    private String field1;
    private String field2;
    
    @JsonSetter(nulls = Nulls.AS_EMPTY)
    public void setField1(String field1) {
        this.field1 = field1;
    }
    // getter and setter for field2
}

自定义反序列化器：可以自定义一个反序列化器来处理缺少字段的情况。通过继承JsonDeserializer类并重写deserialize方法，可以在缺少字段时返回空对象而不是null。例如：

public class MyDeserializer extends JsonDeserializer<MyClass> {
    @Override
    public MyClass deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException, JsonProcessingException {
        ObjectCodec codec = jsonParser.getCodec();
        JsonNode node = codec.readTree(jsonParser);
        
        String field1 = node.has("field1") ? node.get("field1").asText() : "";
        String field2 = node.has("field2") ? node.get("field2").asText() : "";
        
        MyClass myClass = new MyClass();
        myClass.setField1(field1);
        myClass.setField2(field2);
        
        return myClass;
    }
}

然后，在需要使用该反序列化器的字段或类上使用@JsonDeserialize注解，指定自定义的反序列化器。例如：

@JsonDeserialize(using = MyDeserializer.class)
public class MyClass {
    private String field1;
    private String field2;
    // getters and setters
}

以上是针对升级Jackson-databind后缺少字段被反序列化为null而不是空对象的解决方法。对于更多关于Jackson-databind的详细信息和使用方法，可以参考腾讯云的相关产品文档：Jackson-databind产品介绍。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Jackson 使用

这一点和阿里巴巴 fastjson 的不同, fastjson 的做法是若字段为 null 则不序列化该字段. json 转对象 (反序列化) ObjectMapper支持从 byte[]、File、InputStream..., User.class); // 反序列化为List的对象, 使用 TypeReference 这个标志 String json = "[{\"name\":\...这个时候说明缺少空构造（无论是默认构造还是手动构造）或者在带参的构造中需要搭配注解 @JsonCreator 进行使用。...如果需要”反序列化集合”的元素为非基本类型，可以通过创建一个空实现的TypeReference实例，将需要反序列化的集合带上泛型信息传递进去，以解决泛型信息无法传递的问题。..., // 属性值为NULL 的不参与序列化 NON_ABSENT, NON_EMPTY, // 属性为空（””）或者为 NULL 都不序列化 NON_DEFAULT

1.7K2 0

Jackson，最牛掰的 Java JSON 解析器

，需要符合以下规则：如果字段的修饰符是 public，则该字段可序列化和反序列化（不是标准写法）。...如果字段的修饰符不是 public，但是它的 getter 方法和 setter 方法是 public，则该字段可序列化和反序列化。getter 方法用于序列化，setter 方法用于反序列化。...ObjectMapper 通过 readValue 的系列方法从不同的数据源将 JSON 反序列化为 Java 对象。...) 方法，将字节数组反序列化为 Java 对象 readValue(File src, Class valueType) 方法，将文件反序列化为 Java 对象来看一下将字符串反序列化为 Java...在将 Java 对象序列化为 JSON 时，可能有些字段需要过滤，不显示在 JSON 中，Jackson 有一种比较简单的实现方式。

1.7K2 0

都是微服务的天下了，还有不知道 JSON 的程序员吗？

若为作用在 set/get 方法上，反序列化时不会赋值给属性 format 用在 Date 类型的字段来格式化时间格式 serialize、deserialize 布尔类型，在序列化的时候就不包含这个字段了...serialzeFeatures fastjson 默认的序列化规则是当字段的值为 null 的时候，是不会序列化这个字段 1.3.2 Jackson Jackson 是当前用的比较广泛的，用来序列化和反序列化...标注在类上，当其他类引用该类时，该属性将被忽略 @JsonInclude JsonInclude.Include.NON_EMPTY：属性为空或者 null 都不参与序列化。...JsonInclude.Include.NON_NULL：属性为 null 不参与序列化 @JsonProperty 属性使用的注解，用来表示外部属性名字，就是使用别名序列化，而不是对象的名字。...value: 指你需要指定的名字 @JsonFormat 实体类/属性使用的注解，在序列化或者反序列化的时候，指定属性格式化日期/时间 1.3.3 一些对象的 JSON 字符串格式 ☞ JavaBean

4.4K2 0

Jackson用法详解

Car.class，就可以将JSON字符串解析为JsonNode对象而不是Car对象。...@JsonIgnoreProperties注解放置在类声明上方，而不是要忽略的各个属性（字段）上方。...注解@JacksonInject用于将值注入到解析的对象中，而不是从JSON中读取这些值。...如果为该示例设置的值是非空的，则此示例将仅包括name属性，这意味着不为null且不是空字符串。...如果address属性包含一个JSON字符串，那么该JSON字符串将被序列化为最终的JSON对象，作为JSON对象结构的一部分，而不仅是序列化为JSON对象的address字段中的字符串。

15K2 1

Jackson行为特征SerializationFeature和DeserializationFeature【收藏】

：允许将空数组（[]）反序列化为 null 对象。...当遇到空数组时，解析为 null。 2、 ACCEPT_EMPTY_STRING_AS_NULL_OBJECT：允许将空字符串反序列化为 null 对象。当遇到空字符串时，解析为 null。...用于强制要求所有属性都应在对象定义中有对应的字段或 setter 方法。 7 、FAIL_ON_MISSING_CREATOR_PROPERTIES：在缺少构造器参数时抛出异常。...13、 ACCEPT_EMPTY_OBJECT_AS_NULL：允许将空对象（{}）反序列化为 null 对象。当遇到空对象时，解析为 null。...12、 WRITE_BIGDECIMAL_AS_PLAIN：将 BigDecimal 类型的数据序列化为普通数字形式，而不是科学计数法。

851 0

CVE-2020-xxxx:Jackson-databind SSRF

来源于JDK不需要依赖任何jar包，该类在jackson-databind进行反序列化时可造成SSRF 漏洞复现环境搭建 Step 1：新建Meaven项目： Step 2：修改pom.xml...=null的布尔值来确定是否进入if语句，而由于此时getPage为空，所以loaded为null,从而直接进入if语句中：之后调用getAsynchronousLoadPriority来获取document...的加载优先级，在这里我们跟进去发现会根据doc的是否是AbstractDocument类型来决定返回的值，如果不是则返回"-1"，很显然，非也，所以返回"-1": 之后进入到if语句中，此时的page...为true，之后进入到else判断语句中，而此时的rememberException为null，inputStream也为null，所以直接进入最后一个else语句中：之后一路向下跟踪，最后调用this.connect...及时将jackson-databind升级到安全版本升级到较高版本的JDK 参考链接 https://github.com/FasterXML/jackson-databind/issues/2854

5302 0

序列化与反序列化核心用法-JSON框架Jackson精解第一篇

, salary=null) 四、字段重命名 @JsonProperty 可以使用 @JsonProperty来影响序列化和反序列化对象属性的重命名。..., BigDecimal> salary; //年收入 Map 忽略为null的成员变量后,JSON序列化结果是下面这样的 { "age" : 45, "playerName" : "乔丹" }...我们还可以通过 @JsonIgnore加在类成员变量上面，该成员变量将被排除在序列化和反序列化的过程之外 @JsonIgnoreProperties加在类声明上面，指定该类里面哪些字段被排除在序列化和反序列化的过程之外...在类或成员变量上面加上注解之后，序列化结果如下，指定字段被忽略。...{ "age" : 45, "playerName" : "乔丹" } 需要注意的是这两个注解不只是影响序列化为JSON字符串的过程，也影响JSON字符串反序列化为java对象的过程。

3K3 3

Jackson笔记

ObjectMapper 通过 readValue 系列方法从不同的数据源像将 json 反序列化为 java 对象。...@JsonIgnore 这个注解是用在字段上，get或者set方法上，效果都是一样的，用来在实体类序列化和反序列化的时候忽略该字段字段。...username这个字段也不会反序列化 { "username" : "小明", "password" : "123", "age" : 15 } 反序列化username属性为空，结果如下...@JsonIgnoreType 这个注解是用在类上面的表明这个类在序列化和反序列化的时候被忽略，此时的 Address 为 null。...JsonNode对象而不是 Person 对象，只需将 JsonNode.class 第二个参数传递给readValue()方法而不是 Person.class 以下是JsonNode使用该 readValue

11.8K5 0

一篇就够，Jackson的功能原来如此之牛（万字干货）

Jackson在将json转换为JavaBean属性时，默认是通过Json字段的名称与Java对象中的getter和setter方法进行匹配进行绑定。...但并不是所有的属性都可以被序列化和反序列化，基本上遵循一下规则： public修饰的属性可序列化和反序列化。属性提供public的getter/setter方法，该属性可序列化和反序列化。...在Json串中不存在时，get方法会null，而path会返回MissingNode实例对象，在链路方法情况下保证不会抛出异常。...注解的使用上面通过统一配置可对全局格式的序列化和反序列化进行配置，但某些个别的场景下，需要针对具体的字段进行配置，这就需要用注解。...比如当Json字符串中的字段与Java对象中的属性不一致时，就需要通过注解来建立它们直接的关系。

3.3K3 1

穿越到东汉末年的Jackson

东吴FastJson fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。...null的处理有的需要输出null，希望保留字段。有的需要不输出，输出结果里头剔除空值。...之间的各种转换字段缺失的处理有的需要报错，有的需要忽略。...包装意味着不是将User序列化为以下内容：它将像这样包装： image.png image.png @JsonSerialize @JsonSerialize表示在编组实体时要使用的自定义序列化程序...，还是其他的选项，可以忽略null等 om.setSerializationInclusion(Include.ALWAYS); // 设置Date类型的序列化及反序列化格式

1.9K2 0

用了几年的 Fastjson，我最终替换成了Jackson！

Feature.OrderedField 关闭 - - - 禁用特殊字符检查 Feature.DisableSpecialKeyDetect 关闭 - - - 使用对象数组而不是集合 Feature.UseObjectArray...fastjson特性说明 fastjson枚举 fastjson默认状态 jackson枚举 jackson默认状态 jackson特性说明输出的json字段名被引号包含 SerializerFeature.QuoteFieldNames...开启 JsonGenerator.Feature.QUOTE_FIELD_NAMES 开启保持开启序列化时使用单引号，而不是使用双引号 SerializerFeature.UseSingleQuotes...@JSONCreator 指定反序列化时创建java对象使用的构造方法，对应jackson的@JsonCreator。 @JSONField 指定序列化和反序列化field时的行为。...> deserializer() default Void.class; // 序列化时，如果filed是枚举类型，则和普通的java bean一样输出枚举的filed，而不是通常使用的Enum.name

4.7K1 0

除了FastJson，你也应该了解一下Jackson（一）

本文主要讲解我们处理Json中最常见的两个操作：将Java对象序列化为JSON JSON字符串反序列化为Java对象 ---- 引入依赖由于在Spring/SpringBoot中很多组件已经自带了Jackson...：Jackson库最大的优点之一是高度可定制的序列化和反序列化过程。接下来将介绍一些高级特性，其中输入或输出JSON响应可以与生成或使用响应的对象不同。...\" }"; 假设使用如上json字符串来反序列化成Java对象，按照默认解析过程将导致UnrecognizedPropertyException异常，因为其中存在Car类中未包含的新字段year。...**类似：**另一个选项FAIL_ON_NULL_FOR_PRIMITIVES，它定义了是否允许原始值的空值；FAIL_ON_NUMBERS_FOR_ENUM控制是否允许enum值被序列化/反序列化为数字...Java的JSON序列化/反序列化库。

1.1K3 1

用了几年的 Fastjson，最终替换成了 Jackson！

，甚至 ORM 在处理部分字段也依赖 fastjson 进行序列化和反序列化。...@JSONPOJOBuilder 指定反序列化时创建 java 对象使用的 build 方法，对应 jackson 的@JsonPOJOBuilder。...@JSONCreator 指定反序列化时创建 java 对象使用的构造方法，对应 jackson 的@JsonCreator。 @JSONField 指定序列化和反序列化 field 时的行为。...; // 指定序列化时字段为null时使用的默认值，等价于jackson的@JsonProperty.defaultValue() String defaultValue()...> deserializer() default Void.class; // 序列化时，如果filed是枚举类型，则和普通的java bean一样输出枚举的filed，而不是通常使用的Enum.name

2.1K3 0

【安全研究】Jackson 学习笔记

，它可以将JSON数据转换成Java对象或者将JAVA对象序列化为JSON数据，ObjectMapper通过JsonParser和JsonGenerator的实例实现JSON实际的读/写类声明 org.codehaus.jackson.map.ObjectMapper...ObjectMapper类继承了java.lang.Objec类方法数据处理 Json处理方法分类 Jackson支持Java对象与Json之间的相互转化，Java对象序列化为Json字符串，Json...字符串也可以反序列化为相同的Java对象，Jackson提供了三种可选的Json处理方法：树模型(Tree Model)：是最灵活的处理方式流式API(Streaming API)：是效率最高的处理方式....java中使用的get方法，但当node不存在时get方法返回null，而path返回MISSING类型的JsonNode package com.jacksonTest; import com.fasterxml.jackson.core.JsonProcessingException...，无论这些字段是否有值，或者为null，另外序列化依赖于getter方法，如果某个字段没有getter方法，那么该字段是不会被序列化的，由此可见在序列化时OjbectMapper是通过反射机制找到了对应的

1.8K3 0

Fastjson 使用

fastjson 是阿里巴巴的开源 JSON 解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean序列化为JSON字符串，也可以从 JSON 字符串反序列化到 JavaBean。...}", VO.class); //反序列化注意反序列化时为对象时，必须要有默认无参的构造函数，否则会报异常. 新版本不会报异常, 但是最好加上. 记住任何时候加空构造都是个好习惯....使用 JSONField 的 ordinal 参数指定字段的顺序. ordinal = 1表示排在第一列....默认是不输出 json.put("eee", null); // 输出空对象 json.put("fff", new Object());..., null))); // WriteNullStringAsEmpty 字符类型字段如果为null,输出为 "", 而不是不输出 null 值 System.out.println

1.8K2 0

jackson中@JsonProperty、@JsonIgnore等常用注解总结

对属性名称重命名，比如在很多场景下Java对象的属性是按照规范的驼峰书写，但在数据库设计时使用的是下划线连接方式，此处在进行映射的时候就可以使用该注解。...例如：使用该注解将以下表结构转化为Javabean：public class CustomerInfo{private int id;//使用 @JsonProperty注解将表结构中的字段映射到实体类中...String sourceAddress) { this.sourceAddress = sourceAddress;}}@JsonIgnore:此注解用于属性或者方法上（最好是属性上），用来完全忽略被注解的字段和方法对应的属性...，即便这个字段或方法可以被自动检测到或者还有其他的注解，一般标记在属性或者方法上，返回的json数据即不包含该属性。...@JsonInclude :属性值为null的不参与序列化。例子：@JsonInclude(Include.NON_NULL)

2K3 0

Mysql Client 任意文件读取攻击链拓展

基本用法（导入文件test.txt到table1表中，txt文件中的行分隔符为\r\n，默认tab键为字段分隔符，txt文件中的每个字段按顺序对应column1、column2，。。。...如果字段分隔符不是tab，可加入：fields terminated by ‘分隔符’ 知道了该语法的基本用法之后，我们看一下在渗透中的用法，也就是读文件。...jackson-databind 2.x中发现了漏洞。...php序列化中常见的魔术方法有以下 •当对象被创建的时候调用：__construct•当对象被销毁的时候调用：__destruct•当对象被当作一个字符串使用时候调用：__toString•序列化对象之前就调用此方法...(其返回需要是一个数组)：__sleep•反序列化恢复对象之前就调用此方法：__wakeup•当调用对象中不存在的方法会自动调用此方法：__call•配合与之相应的pop链，我们就可以把反序列化转化为RCE

1.6K2 0

Jackson 反序列化远程代码执行漏洞复现

jackson介绍 Jackson是一个能够将java对象序列化为JSON字符串，也能够将JSON字符串反序列化为java对象的框架。...当Jackson开启某些配置时，会允许开发者在反序列化时指定要还原的类，过程中调用其构造方法setter方法或某些特殊的getter方法，当这些方法中存在一些危险操作时就造成了代码执行。...jackson-annotations，注解包，提供标准注解功能； jackson-databind，数据绑定包，提供基于"对象绑定" 解析的相关 API（ObjectMapper）和"树模型" 解析的相关...API（JsonNode）；基于"对象绑定" 解析的API和"树模型"解析的API依赖基于"流模式"解析的API。...由于此漏洞为JDK7u21及以下版本环境中存在，故升级jdk版本及可防御。

2.3K3 0

超级实用的Java工具类

，用来序列化和反序列化 json 的开源框架。...jackson-core，核心包，提供基于流模式解析的相关 API； jackson-annotations，注解包，提供标准注解功能； jackson-databind ，数据绑定包，提供基于对象绑定...先介绍下对象绑定ObjectMapper的使用。如下代码，ObjectMapper 通过writeValue 方法将对象序列化为 json，并将 json 存储成 String 格式。...通过 readValue 方法将 json 反序列化为对象。...mapper.writerWithDefaultPrettyPrinter() .writeValueAsString(person); System.out.println(jsonStr); //json反序列化为对象

8861 0

超级实用的Java工具类！

，用来序列化和反序列化 json 的开源框架。...jackson-core，核心包，提供基于流模式解析的相关 API； jackson-annotations，注解包，提供标准注解功能； jackson-databind ，数据绑定包，提供基于对象绑定...先介绍下对象绑定ObjectMapper的使用。如下代码，ObjectMapper 通过writeValue 方法将对象序列化为 json，并将 json 存储成 String 格式。...通过 readValue 方法将 json 反序列化为对象。...mapper.writerWithDefaultPrettyPrinter() .writeValueAsString(person); System.out.println(jsonStr); //json反序列化为对象

1.8K1 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭