json-lib 之jsonConfig详细使用(转)

一，setCycleDetectionStrategy 防止自包含

?
三，setIgnoreDefaultExcludes
?
四，registerJsonBeanProcessor 当value类型是从java的一个bean转化过来的时候，可以提供自定义处理器
?
?
?
以上两个类用于处理当value为null的时候该如何输出。
?
还准备了两个普通的自定义bean
PlainObjectHolder：
?
?
根据以上代码，主要发现_fromMap是不支持使用DefaultValueProcessor 的。
原因看代码：
JSONObject.java
?
?
根据我的注释，?上面的代码显然是存在矛盾。
?
_fromDynaBean是支持DefaultValueProcessor的和下面的C是一样的。
?
C，我们看如果 java 对象是自定义类型的，并且里面的属性包含空值（没赋值，默认是null）也就是上面B还没贴出来的最后一个else
 public static void main(String[] args) {        JsonTest.testSecurity();    }
?
?输出的内容：
?
{"\"}<IMG src='x.jpg' onerror=javascript:alert('说了你不要进来') border=0> {":"" }
? 
如果把这段内容直接贴到记事本里面，命名为 testSecu.html ，然后用浏览器打开发现执行了其中的 js脚本。这样就容易产生XSS安全问题。?
??