fastjson/jackson对getter,setter和constructor的区分

在复现完fastjson1.2.24-1.2.80和jackson的所有相关漏洞后,总结的一些规则

以下均指对json的反序列化过程

setter

fastjson调用setter:遍历所有方法,找出所有满足setter要求的方法,再根据传入的json去反射调用

jackson调用setter:直接对传入的json中的字段拼接上set,然后去取setter

其实二者一样,但是fastjson不能调用私有和受保护setter,而jackson可以

getter

fastjson调用getter:

1、没有setter方法,有getter方法。且getter满足:参数长度为0,返回类型是属于Collection 或其子类、Map 或其子类、AtomicBoolean、AtomicInteger、AtomicLong的一种

2、fastjson>=1.2.36 可用$ref调用getter

解析函数里有JSON.toJSON,还会调用getter(parseObject)

jackson调用getter:

1、没有setter,有getter方法。可以直接反序列化调用

2、jackson-databind&core&annotations>=2.13.3,通过POJONode调用getter

构造方法

fastjson调用构造方法:

  • 如果存在无参构造方法,则将其作为构造方法
  • 否则使用参数数量最多且排在最前面的构造方法。

jackson调用构造方法:

  • 按照顺序,如果有参构造的参数能对应上,直接调用
相关推荐
深盾安全2 分钟前
逆向分析之if语句与循环语句的分析
安全
间彧15 分钟前
Spring Boot项目中如何实现Redis分布式锁
java
掘金安东尼15 分钟前
AI 应用落地谈起 ,免费试用 Amazon Bedrock 的最佳时机
java·架构
杨杨杨大侠33 分钟前
案例03-附件E-部署运维
java·docker·github
杨杨杨大侠39 分钟前
案例03-附件B-映射器实现
java·开源·github
杨杨杨大侠42 分钟前
案例03-附件A-订单实体设计
java·开源·github
杨杨杨大侠1 小时前
案例03-附件C-性能优化
java·开源·github
杨杨杨大侠1 小时前
案例03-附件D-监控系统
java·开源·github
华仔啊4 小时前
主线程存了用户信息,子线程居然拿不到?ThreadLocal 背锅
java·后端
间彧4 小时前
Spring Boot项目中,Redis 如何同时执行多条命令
java·redis