Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。在实际开发中,我们需要开启autotype,那今天我们就给大家讲解一下autotype开启方式。
在开发项目时,如果我们需要使用到AutoType是可以采用以下几种开启方式:
添加autotype白名单
添加白名单有三种方式,三选一,如下:
1、在代码中配置
ParserConfig.getGlobalInstance().addAccept("com.taobao.pac.client.sdk.dataobject.");如果有多个包名前缀,分多次addAccept
2、加上JVM启动参数
-Dfastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao.
如果有多个包名前缀,用逗号隔开
3. 通过fastjson.properties文件配置
在1.2.25/1.2.26版本支持通过类路径的fastjson.properties文件来配置,配置方式如下:
fastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao. // 如果有多个包名前缀,用逗号隔开
打开autotype功能
如果通过配置白名单解决不了问题,可以选择继续打开autotype功能,fastjson在新版本中内置了多重防护,但是还是可能会存在一定风险。两种方法打开autotype,二选一,如下:
1、JVM启动参数
-Dfastjson.parser.autoTypeSupport=true
2、代码中设置
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
如果有使用非全局ParserConfig则用另外调用setAutoTypeSupport(true);
配置autoType黑名单
打开AutoType之后,是基于内置黑名单来实现安全的,但黑名单是穷举不完的,如果发现了新的风险类,可以通过以下配置来增加黑名单:
1、配置JVM启动参数
-Dfastjson.parser.deny=xx.xxx
这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开
2、通过fastjson.properties来配置
在1.2.25之后的版本支持通过类路径的fastjson.properties文件来配置,配置方式如下:
-Dfastjson.parser.deny=xx.xxx
这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开
3、代码中配置
ParserConfig.getGlobalInstance().addDeny("xx.xxx");这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开
autotype开启方式就是以上这些,AutoType在提供便捷的同时,也带来了安全隐患问题,在使用Fastjson是如果不必须则建议关闭该选项。最后大家如果想要了解更多json相关知识,敬请关注奇Q工具网。
推荐阅读:
fastjson在哪发布版本?fastjson库的3个常用类有哪些?