17.8 XStream-Spring Framework 5 中文文档(Spring 5 Reference)

Spring Framework 5 中文文档 (Spring 5 Reference)

17.8 XStream

Xstream 是一个用于将对象与 XML 文档进行序列化与反序列化的简单类库。它不需要任何映射关系，并且会生成整齐的 XML 文档。

请参考 XStream 的项目主页以获取更多信息。Spring 对此框架的集成代码都在 org.springframework.oxm.xstream 包下面。

XstreamMarshaller 类不需进行任何配置便可直接在 applicationContext.xml 文件中直接配置成 bean 进行使用。不过你可以配置一个包含了字符串别名与类之间对应关系的别名映射表来实现对 XML 解析结果的自定义：

<beans>
	<bean id="xstreamMarshaller" class="org.springframework.oxm.xstream.XStreamMarshaller">
		<property name="aliases">
			<props>
				<prop key="Flight">org.springframework.oxm.xstream.Flight</prop>
			</props>
		</property>
	</bean>
	...
</beans>

Xstream 默认允许对任何类进行反编组操作，但这可能会导致安全隐患。因此不建议使用 XStreamMarshaller 对来源于外部（比如公网）的 XML 文档进行反编组。如果你坚持使用 XStreamMarshaller 反编组来自外部的 XML 文档，请如下例演示的一样设置 supportedClasses 属性：

<bean id="xstreamMarshaller" class="org.springframework.oxm.xstream.XStreamMarshaller">
	<property name="supportedClasses" value="org.springframework.oxm.xstream.Flight"/>
	...
</bean>

设置这一属性能够确保只有指定的类才能够被用于反编组。

更进一步，你可以通过注册自定义转换器来确保只有你指定的类才能够被反编组。建议在明确指定了所有转换器后，在列表的最后加上 CatchAllConverter ，这样一来便可确保具有低优先级以及安全风险的 Xstream 默认转换器不会被调用。

这里需要注意的是 XStream 是一个 XML 序列化类库，而非一个数据绑定类库，所以它对命名空间的支持有限。这就使得 XStream 并不适合于用在网络服务中。

Spring Framework 5 中文文档 (Spring 5 Reference)

17.8 XStream

Spring Data JPA 参考指南中文版

《Spring参考文档》中文翻译基于4.3.5 RELEASE

Spring Framework 4.x 参考文档中文版

Apache Storm 官方文档中文版

Shell脚本编程30分钟入门

C 语言进阶

Spring Framework 5 中文文档 (Spring 5 Reference)

17.8 XStream

Spring Data JPA 参考指南 中文版

《Spring参考文档》中文翻译 基于4.3.5 RELEASE

Spring Framework 4.x 参考文档中文版

Apache Storm 官方文档中文版

Shell脚本编程30分钟入门

C 语言进阶

Spring Data JPA 参考指南中文版

《Spring参考文档》中文翻译基于4.3.5 RELEASE