第java安全fastjson1.2.24反序列化TemplatesImpl分析if(fieldDeserializer==null){

for(FieldDeserializerfieldDeser:sortedFieldDeserializers){

if(fieldDeser.fieldI.equalsIgnoreCase(key2)){

fieldDeserializer=fieldDeser;

break;

//省略部分代碼......

}

我們貌似...大概知道了getOutputProperties方法是如何獲取的，繼續(xù)思考一下：fastjson在反序列化過(guò)程中具體是如何調(diào)用屬性的getter方法的？

答案是JavaBeanInfo類中有一個(gè)build方法，當(dāng)通過(guò)@type獲取TemplatesImpl類的calss對(duì)象后，會(huì)通過(guò)反射獲取該類的class對(duì)象的所有方法并封裝到Method數(shù)組中。然后通過(guò)for循環(huán)遍歷Method獲取getter方法，并將outputProperties屬性和getter方法（getOutputProperties方法）一起封裝到FieldInfo，從代碼中確實(shí)可以看到add方法會(huì)將FieldInfo放到了一個(gè)fieldList中，然后將fieldList封裝到JavaBeanInfo

getter方法的查找方式需要滿足以下幾個(gè)條件：

方法名長(zhǎng)度不小于4

必須是非靜態(tài)方法

必須get字符串開(kāi)頭，并且第四個(gè)字符為大寫(xiě)字母

方法中不能有參數(shù)

返回值繼承自Collection||Map||AtomicBoolean||AtomicInteger||AtomicLong

在getter方法中不能有setter方法

這樣一來(lái)自然就獲取到了getOutputProperties()方法，當(dāng)setValue方法從FieldInfo獲取到outputProperties屬性和getOutputProperties方法并反射調(diào)用getOutputProperties方法就會(huì)觸發(fā)TemplatesImpl利用鏈。

getOutputProperties方法內(nèi)部調(diào)用了newTransformer方法

publicsynchronizedPropertiesgetOutputProperties(){

try{

//調(diào)用newTransformer方法

returnnewTransformer().getOutputProperties();

catch(TransformerConfigurationExceptione){

returnnull;

}

newTransformer方法內(nèi)部調(diào)用了getTransletInstance方法

publicsynchronizedTransformernewTransformer()throwsTransformerConfigurationException{

TransformerImpltransformer;

//調(diào)用了getTransletInstance方法

transformer=newTransformerImpl(getTransletInstance(),_outputProperties,

_indentNumber,_tfactory);

if(_uriResolver!=null){

transformer.setURIResolver(_uriResolver);

if(_tfactory.getFeature(XMLConstants.FEATURE_SECURE_PROCESSING)){

transformer.setSecureProcessing(true);

returntransformer;

}

getTransletInstance方法內(nèi)部會(huì)對(duì)_name和_class進(jìn)行不為null校驗(yàn)，我們構(gòu)造的payload沒(méi)有_class，因此這里_class為null會(huì)調(diào)用defineTransletClasses方法加載_bytecodes屬性的類字節(jié)碼（加載TempletaPoc類）。

privateTransletgetTransletInstance()throwsTransformerConfigurationException{

try{

if(_name==null)returnnull;

//調(diào)用defineTransletClasses方法

if(_class==null)defineTransletClasses();

//根據(jù)_class實(shí)例化類

AbstractTranslettranslet=(AbstractTranslet)_class[_transletIndex].newInstance();

}

跟進(jìn)defineTransletClasses方法:

privatevoiddefineTransletClasses()throwsTransformerConfigurationException{

//校驗(yàn)_bytecodes

if(_bytecodes==null){

ErrorMsgerr=newErrorMsg(ErrorMsg.NO_TRANSLET_CLASS_ERR);

thrownewTransformerConfigurationException(err.toString());

TransletClassLoaderloader=(TransletClassLoader)

AccessController.doPrivileged(newPrivilegedAction(){

publicObjectrun(){

//通過(guò)_tfactory調(diào)用getExternalExtensionsMap方法

returnnewTransletClassLoader(ObjectFactory.findClassLoader(),_tfactory.getExternalExtensionsMap());

try{

finalintclassCount=_bytecodes.length;

_class=newClass[classCount];

if(classCount1){

_auxClasses=newHashtable();

for(inti=0;iclassCount;i++){

//加載_bytecodes中的類（TempletaPoc）

_class[i]=loader.defineClass(_bytecodes[i]);

//獲取TempletaPoc的父類

finalClasssuperClass=_class[i].getSuperclass();

//Checkifthisisthemainclass

//是否繼承了AbstractTranslet類

if(superClass.getName().equals(ABSTRACT_TRANSLET)){

_transletIndex=i;

else{

_auxClasses.put(_class[i].getName(),_class[i]);

if(_transletIndex0){

ErrorMsgerr=newErrorMsg(ErrorMsg.NO_MAIN_TRANSLET_ERR,_name);

thrownewTransformerConfigurationException(err.toString());

catch(ClassFormatErrore){

ErrorMsgerr=newErrorMsg(ErrorMsg.TRANSLET_CLASS_ERR,_name);

thrownewTransformerConfigurationException(err.toString());

catch(LinkageErrore){

ErrorMsgerr=newErrorMsg(ErrorMsg.TRANSLET_OBJECT_ERR,_name);

thrownewTransformerConfigurationExce