【snakeyaml升级2.x重写类源文件】_snakeyaml如何升级2.0资源-CSDN文库

共2个文件

java：2个

181 浏览量 2024-02-29 17:08:16 上传评论 1 收藏 10KB ZIP 举报

在Java开发环境中，SnakeYAML库是一个非常流行的用于解析和生成YAML格式数据的库。在SpringBoot项目中，SnakeYAML通常被用来处理配置文件或者其他YAML格式的数据。随着软件的发展，SnakeYAML发布了2.x版本，这个新版本可能包含了一些性能优化、新的特性和安全修复。本篇文章将详细介绍在升级SnakeYAML到2.x版本时，如何重写类源文件以适应新版本，并解决可能遇到的问题。我们需要了解为什么要升级SnakeYAML。在旧版本中，可能存在已知的安全漏洞或性能瓶颈。例如，某些旧版本可能容易受到反序列化攻击，升级到最新版可以修复这些安全问题。此外，新版本可能会引入一些性能改进，使得处理YAML数据更高效。升级SnakeYAML的过程通常包括以下步骤： 1. **依赖更新**：在你的`pom.xml`（如果是Maven项目）或`build.gradle`（如果是Gradle项目）文件中，将SnakeYAML的版本号更新为2.x。确保你选择的是稳定版本，避免使用预发布或alpha/beta版本。 ```xml <dependency> <groupId>org.yaml</groupId> <artifactId>snakeyaml</artifactId> <version>2.x</version> </dependency> ``` 或者对于Gradle： ```groovy implementation 'org.yaml:snakeyaml:2.x' ``` 2. **源代码检查**：升级后，需要检查所有使用SnakeYAML API的地方，因为API在不同版本之间可能有所变化。阅读官方的迁移指南或变更日志，了解新版本中弃用或修改的API。 3. **重写源文件**：如果发现有任何不兼容的API调用，需要根据官方文档或者新版本的API接口来修改代码。例如，旧版本中的某些方法可能已经被移除，需要找到替代的方法。 4. **测试**：完成代码修改后，进行全面的单元测试和集成测试，确保升级后的代码仍能正常工作，没有引入新的错误。 5. **处理异常**：新版本可能引入了更严格的错误检查，因此在处理YAML数据时可能会抛出新的异常类型。确保代码能够正确捕获并处理这些异常。 6. **性能优化**：新版本可能提供了一些性能优化特性，如流式解析等，可以根据需求考虑是否采用。 7. **漏洞修复**：确认升级解决了之前存在的安全漏洞，如反序列化攻击等。在升级前后的安全扫描结果对比可以帮助确认这一点。 8. **文档更新**：记录下升级过程和所做的修改，以便将来维护和查阅。在实际操作中，可能还需要关注其他因素，如兼容性问题、配置更改等。在升级过程中，如果遇到无法解决的问题，可以查阅SnakeYAML的官方文档，或者在开发者社区中寻找解决方案。升级库版本是为了获取更好的功能和安全性，但同时也需要确保代码的稳定性和兼容性。通过以上步骤，我们可以顺利地将SnakeYAML升级到2.x版本，并对源文件进行必要的调整。

资源推荐

资源详情

资源评论

收起资源包目录

org.zip （2个子文件）

org

yaml

snakeyaml

representer

Representer.java 11KB

constructor

Constructor.java 30KB

/** * Copyright (c) 2008, SnakeYAML * * Licensed under the Apache License, Version 2.0 (the "License"); you may not use this file except * in compliance with the License. You may obtain a copy of the License at * * http://www.apache.org/licenses/LICENSE-2.0 * * Unless required by applicable law or agreed to in writing, software distributed under the License * is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express * or implied. See the License for the specific language governing permissions and limitations under * the License. */ package org.yaml.snakeyaml.constructor; import java.math.BigDecimal; import java.math.BigInteger; import java.util.ArrayList; import java.util.Calendar; import java.util.Collection; import java.util.Date; import java.util.List; import java.util.Map; import java.util.Set; import java.util.UUID; import org.yaml.snakeyaml.LoaderOptions; import org.yaml.snakeyaml.TypeDescription; import org.yaml.snakeyaml.error.YAMLException; import org.yaml.snakeyaml.introspector.Property; import org.yaml.snakeyaml.nodes.MappingNode; import org.yaml.snakeyaml.nodes.Node; import org.yaml.snakeyaml.nodes.NodeId; import org.yaml.snakeyaml.nodes.NodeTuple; import org.yaml.snakeyaml.nodes.ScalarNode; import org.yaml.snakeyaml.nodes.SequenceNode; import org.yaml.snakeyaml.nodes.Tag; import org.yaml.snakeyaml.util.EnumUtils; /** * 漏洞修复重写Constructor类 * 原因 snakeYaml 1.x存在漏洞，需要升级至2.x,但springBoot2.7.10以下版本不支持snakeYaml2.x,因为snakeYaml2.x的Constructor中去掉了无参构造 * 所以在此处重写snakeYaml2.x的Constructor类，新增无参构造 * @Author haibo.li * @Date 2024/2/28 11:51 */ public class Constructor extends SafeConstructor { public Constructor() { this(Object.class,new LoaderOptions()); this.loadingConfig.setAllowDuplicateKeys(false); } /** * Create with options * * @param loadingConfig - config */ public Constructor(LoaderOptions loadingConfig) { this(Object.class, loadingConfig); } /** * Create * * @param theRoot - the class to create (to be the root of the YAML document) * @param loadingConfig - options */ public Constructor(Class<? extends Object> theRoot, LoaderOptions loadingConfig) { this(new TypeDescription(checkRoot(theRoot)), null, loadingConfig); } /** * Ugly Java way to check the argument in the constructor */ private static Class<? extends Object> checkRoot(Class<? extends Object> theRoot) { if (theRoot == null) { throw new NullPointerException("Root class must be provided."); } else { return theRoot; } } /** * Create * * @param theRoot - the root class to create * @param loadingConfig options */ public Constructor(TypeDescription theRoot, LoaderOptions loadingConfig) { this(theRoot, null, loadingConfig); } /** * Create with all possible arguments * * @param theRoot - the class (usually JavaBean) to be constructed * @param moreTDs - collection of classes used by the root class * @param loadingConfig - configuration */ public Constructor(TypeDescription theRoot, Collection<TypeDescription> moreTDs, LoaderOptions loadingConfig) { super(loadingConfig); if (theRoot == null) { throw new NullPointerException("Root type must be provided."); } // register a general Construct when the explicit one was not found this.yamlConstructors.put(null, new ConstructYamlObject()); // register the root tag to begin with its Construct if (!Object.class.equals(theRoot.getType())) { rootTag = new Tag(theRoot.getType()); } yamlClassConstructors.put(NodeId.scalar, new ConstructScalar()); yamlClassConstructors.put(NodeId.mapping, new ConstructMapping()); yamlClassConstructors.put(NodeId.sequence, new ConstructSequence()); addTypeDescription(theRoot); if (moreTDs != null) { for (TypeDescription td : moreTDs) { addTypeDescription(td); } } } /** * Create * * @param theRoot - the main class to crate * @param loadingConfig - options * @throws ClassNotFoundException if something goes wrong */ public Constructor(String theRoot, LoaderOptions loadingConfig) throws ClassNotFoundException { this(Class.forName(check(theRoot)), loadingConfig); } private static String check(String s) { if (s == null) { throw new NullPointerException("Root type must be provided."); } if (s.trim().length() == 0) { throw new YAMLException("Root type must be provided."); } return s; } /** * Construct mapping instance (Map, JavaBean) when the runtime class is known. */ protected class ConstructMapping implements Construct { /** * Construct JavaBean. If type safe collections are used please look at * <code>TypeDescription</code>. * * @param node node where the keys are property names (they can only be <code>String</code>s) * and values are objects to be created * @return constructed JavaBean */ public Object construct(Node node) { MappingNode mnode = (MappingNode) node; if (Map.class.isAssignableFrom(node.getType())) { if (node.isTwoStepsConstruction()) { return newMap(mnode); } else { return constructMapping(mnode); } } else if (Collection.class.isAssignableFrom(node.getType())) { if (node.isTwoStepsConstruction()) { return newSet(mnode); } else { return constructSet(mnode); } } else { Object obj = Constructor.this.newInstance(mnode); if (obj != NOT_INSTANTIATED_OBJECT) { if (node.isTwoStepsConstruction()) { return obj; } else { return constructJavaBean2ndStep(mnode, obj); } } else { throw new ConstructorException(null, null, "Can't create an instance for " + mnode.getTag(), node.getStartMark()); } } } @SuppressWarnings("unchecked") public void construct2ndStep(Node node, Object object) { if (Map.class.isAssignableFrom(node.getType())) { constructMapping2ndStep((MappingNode) node, (Map<Object, Object>) object); } else if (Set.class.isAssignableFrom(node.getType())) { constructSet2ndStep((MappingNode) node, (Set<Object>) object); } else { constructJavaBean2ndStep((MappingNode) node, object); } } // protected Object createEmptyJavaBean(MappingNode node) { // try { // Object instance = Constructor.this.newInstance(node); // if (instance != null) { // return instance; // } // // /** // * Using only default constructor. Everything else will be // * initialized on 2nd step. If we do here some partial // * initialization, how do we then track what need to be done on // * 2nd step? I think it is better to get only object here (to // * have it as reference for recursion) and do all other thing on /

评论收藏

内容反馈