fastjson怎么开启autotype?AutoType功能使用

阳光 2021-03-29 16:50:49 java常见问答 8008

在fastjson升级之后,发现autotype功能是受限的,要想开启autotype还是有点困难的,那fastjson怎么开启autotype?接下来我们就来给大家讲解一下fastjson开启autotype的方法。

一、添加autotype白名单

添加白名单有三种方式,三选一,如下:

1、 在代码中配置

ParserConfig.getGlobalInstance().addAccept("com.taobao.pac.client.sdk.dataobject.");

如果有多个包名前缀,分多次addAccept

2、加上JVM启动参数

-Dfastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao.

如果有多个包名前缀,用逗号隔开。

3、通过fastjson.properties文件配置

在1.2.25/1.2.26版本支持通过类路径的fastjson.properties文件来配置,配置方式如下:

fastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao. 
// 如果有多个包名前缀,用逗号隔开。

二、打开autotype功能

如果通过配置白名单解决不了问题,可以选择继续打开autotype功能,fastjson在新版本中内置了多重防护,但是还是可能会存在一定风险。两种方法打开autotype,二选一,如下:

1、JVM启动参数

-Dfastjson.parser.autoTypeSupport=true

2、代码中设置

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

如果有使用非全局ParserConfig则用另外调用setAutoTypeSupport(true);

三、配置autoType黑名单

打开AutoType之后,是基于内置黑名单来实现安全的,但黑名单是穷举不完的,如果发现了新的风险类,可以通过以下配置来增加黑名单:

1、配置JVM启动参数

-Dfastjson.parser.deny=xx.xxx

这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开。

2、通过fastjson.properties来配置

在1.2.25之后的版本支持通过类路径的fastjson.properties文件来配置,配置方式如下:

-Dfastjson.parser.deny=xx.xxx

这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开。

3、代码中配置

ParserConfig.getGlobalInstance().addDeny("xx.xxx");

这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开。

大家可以采用以上的几种方法去开启autotype,要说难其实也没有什么难度,只要掌握好相关步骤就好!最后大家如果想要了解更多json相关知识,敬请关注奇Q工具网。

推荐阅读:

java怎么入门?java初级教程

java架构师面试题有哪些?java架构师面试宝典

json文件怎么下载?json有哪些功能?