我打算在我的服务器上使用Gson(http://code.google.com/p/google-gson/),并将JavaScript对象从浏览器传输到服务器上的Java对象。我将使用Ajax来发布请求。我有点担心每个人都能将Java对象发布到我的服务器VM。在服务器进程中运行的Java对象将有可能做任何想做的事情。 Gson如何解决这个问题?
答案 0 :(得分:2)
gson / json只是数据,不是代码。所以没有人可以将代码发布到您的服务器,只是数据。
当您对json进行反序列化时,您可以指定哪个类(或者您只是直接提取基元或基元集合)来填充数据 - 没有人可以向您发送json,即aribtarly实例化服务器上的任何类。