@chendy #6 我看 lz 上一个帖子我就想吐槽了，2025 年还在出 java web 框架是怎么想的？如果放在十年前，还可以像 jfinal 那样吃一下 spring 留下的剩饭。

练练手挺好的。真正项目上，还是用现成的吧，这玩意坑确实多。 另外，fastjson 是不是使用了太内核的东西，一个 json 序列化怎么这么多恐怖的漏洞（没看过远吗，也很少用。个人用 Gson 多） @bobox @layxy

fastjson 有漏洞是因为反序列化太自由了，拓展性太强了 如果，你只允许，json 反序列化到 hashmap arraylist 自己从 hashmap 里一个个的 get k/v 设置 entity 属性，没有漏洞。fastjson 是允许自动反序列化到指定的 entity/pojo 类，而不是从 hashmap 手动搞过去，自动导致的漏洞。 漏洞的核心是，自动类型推断和实例化，自动调用 getter/setter

@mystical 主要就是自动类型推断，比如把类型用"@type"直接写到字段上

LocalDateTime 这些处理好了吗

xml 表达能力那么强，为啥被 json 偷家了，简直就是劣币驱逐良币

@dog82 不知道好在什么地方。你可以列出下

@dog82 因为表达能力过于强了，平时根本不需要这么复杂的东西，JSON 主要赢在一个简单

为什么 javascript ，php 一个函数就搞定 json 了，是因为他们是动态语言吗

@dog82 xml 冗余太多了，一个简单的对象编码出来巨大无比，解析慢，可读性差。除了表达能力强以外几乎一无是处。至于需要它表达能力的场景，用就是了。 我最喜欢 yaml ，比起嵌 json 的各种转义，可读性太好了，就是解析性能好像弱点，作为配置文件无可替代