fastjson有哪些漏洞?fastjson使用的相关问题

阳光 2021-04-28 21:55:58 java常见问答 5488

Fastjson 是一个Java库,Fastjson可以操作任何Java对象,但是开发人员在使用过程中经常会遇到一些问题以及漏洞,那么接下来我们就来给大家讲解一下fastjson使用的相关问题。

github说明:

fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

使用:

添加maven依赖

 <dependency >
    <groupId>com.alibaba</groupId> <
    artifactId > fastjson < /artifactId> <
    version > 1.2 .54 < /version> <
    /dependency>

API使用

String text = JSON.toJSONString(obj); //序列化
VO vo = JSON.parseObject("{...}", VO.class); //反序列化

但有时候会出现

使用Redis 配置替换fastjson 反序列化报错 com.alibaba.fastjson.JSONException: autoType is not support

解决方法是:

在RedisSerializer的实现类中添加白名单

//添加白名单
static
{
    ParserConfig.getGlobalInstance()
        .addAccept("com.glz.oauthmanager");
}
public class FastJsonRedisSerializerimplements RedisSerializer
{
    public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8");
    private Classclazz;
    //添加白名单
    static
    {
        ParserConfig.getGlobalInstance()
            .addAccept("com.glz.oauthmanager");
    }
    public FastJsonRedisSerializer(Classclazz)
    {
        super();
        this.clazz = clazz;
    }
    @Override
    public byte[] serialize(T t) throws SerializationException
    {
        if (t == null)
        {
            return new byte[0];
        }
        return JSON.toJSONString(t, SerializerFeature.WriteClassName)
            .getBytes(DEFAULT_CHARSET);
    }
    @Override
    public T deserialize(byte[] bytes) throws SerializationException
    {
        if (bytes == null || bytes.length <= 0)
        {
            return null;
        }
        String str = new String(bytes, DEFAULT_CHARSET);
        return (T) JSON.parseObject(str, clazz);
    }
}

如果还是不行,官方还有其他解决办法

1. 在代码中配置

ParserConfig.getGlobalInstance().addAccept("com.taobao.pac.client.sdk.dataobject.");

如果有多个包名前缀,分多次addAccept

2. 加上JVM启动参数

-Dfastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao.

如果有多个包名前缀,用逗号隔开

3. 通过fastjson.properties文件配置。

在1.2.25/1.2.26版本支持通过类路径的fastjson.properties文件来配置,配置方式如下:

fastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao. 
// 如果有多个包名前缀,用逗号隔开。

二、打开autotype功能

如果通过配置白名单解决不了问题,可以选择继续打开autotype功能,fastjson在新版本中内置了多重防护,但是还是可能会存在一定风险。两种方法打开autotype,二选一,如下:

1、JVM启动参数

-Dfastjson.parser.autoTypeSupport=true

2、代码中设置

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

如果有使用非全局ParserConfig则用另外调用setAutoTypeSupport(true);

Fastjson是阿里巴巴的开源JSON解析库,如果大家在使用过程中遇到一些问题平时可以记录下来,这样下次就会有经验去解决了。最后大家如果想要了解更多json相关知识,敬请关注奇Q工具网。

推荐阅读:

java开发用什么软件?java开发实用软件

java怎么连接数据库不成功?如何连接数据库?

java面试在哪刷题?java最新面试题