Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。那fastjson中autotype属性如何设置?下面来我们就来给大家讲解一下fastjson的autotype属性设置方法。
一、添加autotype白名单
添加白名单有三种方式,三选一,如下:
1. 在代码中配置
ParserConfig.getGlobalInstance().addAccept("com.taobao.pac.client.sdk.dataobject.");如果有多个包名前缀,分多次addAccept
2. 加上JVM启动参数
-Dfastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao.
如果有多个包名前缀,用逗号隔开
3. 通过fastjson.properties文件配置。
在1.2.25/1.2.26版本支持通过类路径的fastjson.properties文件来配置,配置方式如下:
fastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao. // 如果有多个包名前缀,用逗号隔开
二、打开autotype功能
如果通过配置白名单解决不了问题,可以选择继续打开autotype功能,fastjson在新版本中内置了多重防护,但是还是可能会存在一定风险。两种方法打开autotype,二选一,如下:
1、JVM启动参数
-Dfastjson.parser.autoTypeSupport=true
2、代码中设置
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
如果有使用非全局ParserConfig则用另外调用setAutoTypeSupport(true);
三、配置autoType黑名单
打开AutoType之后,是基于内置黑名单来实现安全的,但黑名单是穷举不完的,如果发现了新的风险类,可以通过以下配置来增加黑名单:
1. 配置JVM启动参数
-Dfastjson.parser.deny=xx.xxx
这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开
2. 通过fastjson.properties来配置
在1.2.25之后的版本支持通过类路径的fastjson.properties文件来配置,配置方式如下:
-Dfastjson.parser.deny=xx.xxx
这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开
3. 代码中配置
ParserConfig.getGlobalInstance().addDeny("xx.xxx");这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开
检测当前使用版本的是否有问题?
1. 通过maven dependency检测
如果是maven工程,在代码根目录下执行如下命令,如果有返回,就是需要升级
mvn dependency:tree | grep "com.alibaba.fastjson:" | grep -v sec01 | grep -v 1.2.25 | grep -v 1.2.26 | grep -v 1.2.27 | grep -v 1.2.28 | grep -v 1.2.29 | grep -v 1.2.30 | grep -v 1.2.31
2.在lib目录下执行如下脚本命令,可以判断版本是否有问题
ls | grep fastjson | grep jar | grep -v sec01 | grep -v 1.2.25 | grep -v 1.2.26 | grep -v 1.2.27 | grep -v 1.2.28 | grep -v 1.2.29 | grep -v 1.2.30 | grep -v 1.2.31
请注意,为了方便阅读,加上了换行符,请使用时把上面的三行合并成一行。
3.看打开的文件中是否包含fastjson
sudo -u admin lsof -X | grep -v 1.2.25 | grep -v 1.2.26 | grep -v 1.2.27 | grep -v 1.2.28 | grep -v 1.2.29 | grep -v 1.2.30 | grep -v 1.2.31
请注意,为了方便阅读,加上了换行符,请使用时把上面的两行合并成一行。另外通过lsof检测,在tomcat某些场景是检测不出来的,最好在lib目录下用ls检测(第2中方法)。
fastjson的autotype功能是受限的,如果在升级的过程中肯定会遇到问题,因此对于autotype功能的设置是很有必要的,我们可以参考这些方法哦!最后大家如果想要了解更多json相关知识,敬请关注奇Q工具网。
推荐阅读: