在Web應用中，控制器(Controller)是一個非常重要的組件，它負責接收請求，并將請求派發給相應的處理程序。

當我們向控制器傳遞參數時，經常會使用JSON格式，這樣有很多優點。JSON數據可以很容易地在不同的平臺之間傳輸和解析，而且它可以包含非常復雜的數據結構。下面是一個使用JSON作為參數的控制器的示例：

public Object createOrder(@RequestBody Order order) {
// 處理訂單邏輯
...
}

在上面的代碼中，我們使用@RequestBody注解將JSON參數綁定到Order對象上。這個Order對象是一個包含訂單信息的POJO(Plain Old Java Object)。

當我們使用JSON作為參數時，我們還需要注意一些安全問題。如果控制器中沒有正確的處理JSON請求，可能會引起各種漏洞，如跨站腳本攻擊(XSS)和SQL注入攻擊。因此，我們應該始終將JSON請求限制在具有受信任的源和目標的情況下，同時我們還需要對JSON數據進行檢驗以確保它符合預期。下面是一個使用Spring Security對JSON數據進行安全策略的示例：

protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/api/orders").hasRole("USER")
.anyRequest().authenticated()
.and()
.csrf()
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
.and()
.addFilterBefore(new JsonFilter(), UsernamePasswordAuthenticationFilter.class)
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.logoutSuccessUrl("/")
.permitAll();
}

在上面的代碼中，我們使用.antMatchers()方法設置要保護的請求路徑，并使用.hasRole()方法設置所需的角色。我們還配置了CSRF保護和自定義過濾器(JsonFilter)，該過濾器用于處理JSON請求的安全。

總之，JSON參數在控制器中使用非常普遍。如果我們正確處理JSON請求并采取適當的安全策略，就可以確保Web應用程序的安全性。