Pinkon

前言： fastjson 默认使用@type反序列化任意类，反序列化时会将该类或其子类的构造函数、getter、setter方法执行，如果这三种方法中存在可利用的入口，则可能导致反序列化漏洞的存在。 123456789//序列化String text = JSON.toJSONString(obj); //反序列化VO vo = JSON.parse(); //解析为JSONObject类型或者JSONArray类型VO vo = JSON.parseObject("{...}"); //JSON文本解析成JSONObject类型VO vo = JSON.parseObject("{...}", VO.class); //JSON文本解析成VO.class类JSON.parseObject方法中没指定对象，返回的则是JSONObject的对象。JSON.parseObject和 JSON.parse这两个方法差不多JSON.parseObject的底层调用的还是JSON.parse方法，只是在JSON...