redisTemplate序列化中ObjectMapper.DefaultTyping.NON_FINAL漏洞的解决

最新推荐文章于 2024-04-28 18:29:06 发布
最新推荐文章于 2024-04-28 18:29:06 发布
阅读量1.8w 收藏 6
点赞数
分类专栏: Java知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37708405/article/details/88842801
版权 
第一种方法:使用默认的springboot方法
@Bean(name = "redisTemplate")
public RedisTemplate<String, Object> redisTemplate(JedisConnectionFactory factory) {
    RedisTemplate<String, Object> redisTemplate = new RedisTemplate<>();
    redisTemplate.setConnectionFactory(redisConnectionFactory());
    redisTemplate.afterPropertiesSet();
    return redisTemplate;
}

这种方法在redisclient客户端保存key的是乱码;弊端,指定的key在数据库中存的是乱码,不能可视化,不利于跨系统利用redis。

第二种方法

@Bean(name = "redisTemplate")
public RedisTemplate<String, Object> redisTemplate(JedisConnectionFactory factory) {
    RedisTemplate<String, Object> redisTemplate = new RedisTemplate<>();
    redisTemplate.setConnectionFactory(redisConnectionFactory());
    setMySerializer(redisTemplate);
    setRedisTemplate(redisTemplate);
    redisTemplate.afterPropertiesSet();
    return redisTemplate;
}

private void setMySerializer(RedisTemplate template) {
    Jackson2JsonRedisSerializer<Object> jackson2JsonRedisSerializer = new Jackson2JsonRedisSerializer<Object>(
            Object.class);
    ObjectMapper om = new ObjectMapper();
    om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
    om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
    jackson2JsonRedisSerializer.setObjectMapper(om);
    template.setKeySerializer(template.getStringSerializer());
    template.setValueSerializer(jackson2JsonRedisSerializer);
}

这种方法om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL)这行会被sona扫描出漏洞

去掉这行,会带来意想不到的问题,比如,时间格式,存在数据库中是long,但是获取key回转的时候会有问题

第三种方法:

验证好使:
@Bean(name = "redisTemplate")
public RedisTemplate<String, Object> redisTemplate(JedisConnectionFactory factory) {
    RedisTemplate<String, Object> redisTemplate = new RedisTemplate<>();
    redisTemplate.setConnectionFactory(redisConnectionFactory());
    setRedisTemplate(redisTemplate);
    redisTemplate.afterPropertiesSet();
    return redisTemplate;
}
public void setRedisTemplate(RedisTemplate redisTemplate) {
    //        JdkSerializationRedisSerializer jdkSerializationRedisSerializer = new JdkSerializationRedisSerializer();
    GenericJackson2JsonRedisSerializer jackson2JsonRedisSerializer = new GenericJackson2JsonRedisSerializer();
    // 设置值(value)的序列化采用FastJsonRedisSerializer。
    redisTemplate.setValueSerializer(jackson2JsonRedisSerializer);
    //        redisTemplate.setHashValueSerializer(fastJsonRedisSerializer);
    // 设置键(key)的序列化采用StringRedisSerializer。
    redisTemplate.setKeySerializer(new StringRedisSerializer());
    redisTemplate.setHashKeySerializer(new StringRedisSerializer());
    redisTemplate.afterPropertiesSet();
}

 

sona扫描没有bug

histjxg1224
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
实例解析Json反序列ObjectMapper(自定义实现反序列方法)
10-19
主要介绍了实例解析Json反序列ObjectMapper,json自定义序列的方法,需要的朋友可以了解下。
redisTemplate封装成redisUtils和分布式锁实现
06-18
om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL); jsonSerializer.setObjectMapper(om); template.setKeySerializer(stringRedisSerializer); template.setValueSerializer(jsonSerializer); ...
RedisTemplate配置的jackson.ObjectMapper里的一个enableDefaultTyping方法过期解决
zzhongcy的专栏
04-28 3万+
1、前言 最近升级SpringBoot,从2.1.6版本升级到2.2.6版本,发现enableDefaultTyping方法过期过期了。 该方法是指定序列输入的类型,就是将数据库里的数据安装一定类型存储到redis缓存。 2、为什么要指定序列输入类型 2.1、没有指定序列输入类型 如果注释掉enableDefaultTyping(ObjectMapper.DefaultTyp...
SpringBoot3 redis序列配置
最新发布
yyh2868952213的博客
04-28 426
【代码】SpringBoot3 redis序列配置。
jackson.ObjectMapper里的一个enableDefaultTyping方法过期
每天进步一点
04-13 1万+
jackson.ObjectMapper里的一个enableDefaultTyping方法过期了,项目每次编译时提示,同时过期可能是有漏洞或者效率太低了,总而言之最好处理下 看了下网上也没有解决方案,我这边记录下解决方案。 最好的解决办法就是看过期方法的源码,一般过期方法会给出新的方法来替换过期方法的说明 可以看到@link 里已经给出了这个说明。 我这边修改的: ...
jackson.ObjectMapper里enableDefaultTyping方法过期
阿正的梦工坊
07-04 4489
踩坑
解决:Unexpected token (START_OBJECT), expected START_ARRAY: need JSON Array to contain As.WRAPPER_ARRA
愿我如星君如月 ... 夜夜流光相皎洁 ...
06-08 3万+
1. redisTemplate 报错: Caused by: com.fasterxml.jackson.databind.JsonMappingException: Unexpected token (START_OBJECT), expected START_ARRAY: need JSON Array to contain As.WRAPPER_ARRAY type information for class java.lang.Object 2. 报错代码行: Obj
Jackson的简单使用 极度精简 只需1分钟即可学会!
蒋劲豪的博客
06-23 87
【代码】Jackson的简单使用 极度精简 只需1分钟学会!
spring-boot-redis.zip
02-09
objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL); Jackson2JsonRedisSerializer<Object> serializer = new Jackson2JsonRedisSerializer(Object.class); serializer.setObjectMapper...
Spring boot redis demo.rar
06-17
objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL); serializer.setObjectMapper(objectMapper); template.setValueSerializer(serializer); template.setKeySerializer(new ...
RedisTemplate-redis-优雅玩法
05-21
objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL); serializer.setObjectMapper(objectMapper); template.setValueSerializer(serializer); template.setKeySerializer(new ...
SpringBoot自定义Redis缓存序列机制
凉茶铺的博客
07-15 1725
基于API的Redis缓存实现是使用RedisTemplate模板进行数据缓存操作的,这里打开RedisTemplate类,查看该类的源码信息//声明了key、value的各种序列方式,初始值为空@Nullable@Nullable@Nullable@Nullable...//进行默认序列方式设置,设置为JDK序列方式=null?}...}...}@Bean)}...}//自定义RedisTemplate@Bean通过)。...
14_redis
Flandre_rokned的博客
09-01 234
14_redis
Redis学习03
少年有事问春风
07-17 1823
Redis学习之事务、持久
springboot整合redis6以及相关问题
a4215dr的博客
08-04 1057
需要有mybatis-plus,springboot,redis基础
Redis 遇到enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL)过期
qq_31247573的博客
06-19 3749
项目 遇到这个 方法过期 查看后 更改 为 activateDefaultTyping(LaissezFaireSubTypeValidator.instance , ObjectMapper.DefaultTyping.NON_FINAL, JsonTypeInfo.As.PROPERTY)
SpringBoot2.0的@Cacheable(Redis)缓存失效时间解决方案
热门推荐
zzhongcy的专栏
09-04 4万+
1、注释介绍 @Cacheable、@CachePut、@CacheEvict spring cache 主要使用3个注释标签,即 @Cacheable、@CachePut 和 @CacheEvict,我们总结一下其作用和配置方法。 表 1. @Cacheable 作用和配置方法 @Cacheable 的作用 主要针对方法配置,能够根据方法的请求参数对其结果进行缓存 @C...
Redis配置序列序列Jackson ObjectMapper 的 enableDefaultTyping 方法从 2.10.0 开始标记为过期
流沙QuickSand
10-05 3591
Redis配置序列序列Jackson ObjectMapper 的 enableDefaultTyping 方法从 2.10.0 开始标记为过期
om.activateDefaultTyping(LaissezFaireSubTypeValidator.instance, ObjectMapper.DefaultTyping.NON_FINAL);的详细解释
07-10
`om.activateDefaultTyping(LaissezFaireSubTypeValidator.instance, ObjectMapper.DefaultTyping.NON_FINAL);` 的作用是激活默认的类型信息处理。这个方法在序列和反序列过程包含类型信息,以便在反序列时能够正确地恢复对象的类型。 具体解释如下: 1. `activateDefaultTyping()` 方法用于激活类型信息处理,它接受两个参数:类型验证器和类型处理方式。 2. `LaissezFaireSubTypeValidator.instance` 是 Jackson 库提供的默认子类型验证器实例。它用于验证在反序列过程出现的子类型,以确保类型的安全性。 3. `ObjectMapper.DefaultTyping.NON_FINAL` 是 ObjectMapper的一个枚举值,表示只对非 final 类型进行类型信息处理。这意味着 final 类型的字段不会包含类型信息。 通过使用这个方法,你可以在序列和反序列过程包含类型信息,以便正确地恢复对象的类型。这在某些情况下很有用,例如当你需要处理多态类型或希望确保在反序列时能够准确地还原对象的类型。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值