dubbo版本升级关于序列化问题

最新推荐文章于 2024-03-15 17:44:24 发布
最新推荐文章于 2024-03-15 17:44:24 发布
阅读量636 收藏 1
点赞数
分类专栏: java 文章标签: dubbo java 开发语言 服务器 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67403188/article/details/126656612
版权

最近两年公司项目dubbo进行升级,从2.5.6升级至2.6.9
至今又升级为2.6.10

主要升级的原因是序列化存在漏洞,需要使用hession协议进行序列化操作。

2.6.9

在2.6.9引入白名单,因为hessian默认支持java.*的所有类进行序列化,所以重写AbstractHessian2FactoryInitializer配置白名单参数
是否开启白名单

  *static String WHITELIST = "dubbo.application.hessian2.whitelist";*

白名单允许序列化的类路径

  *static String ALLOW = "dubbo.application.hessian2.allow";*

黑名单序列化的类路径

  *static String DENY = "dubbo.application.hessian2.deny";*

把所需要的类路径加上,否则会报错heesian序列化异常,如
严重:

com.sinosig.sl.sssc.dto.form.Page's interfaces: java.io.Serializable in blacklist or not in whitelist, deserialization with type 'HashMap' instead.
com.alibaba.com.caucho.hessian.io.HessianFieldException: com.sinosig.sl.sssc.dto.result.ResultDTO.resultValue: java.util.Map cannot be assigned from null

不在名单里,hessian无法进行序列化所以当作hashMap去处理序列化,失败。

升级为2.6.12

dubbo改写了序列化方式,优化了早期的序列化漏洞,引入文件默认配置读取一些文件不允许hessian序列化,本次默认不支持java.*的白名单,需写入自行配置,同2.6.9一样重写AbstractHessian2FactoryInitializer,只是将java.*加入白名单配置即可

m0_67403188
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Dubbo 序列化协议 5 连问,你接得住不.PDF
06-05
默认就是⾛ dubbo 协议,单⼀⻓连接,进⾏的是 NIO 异步通信,基于 hessian 作为序列化协议。使⽤的场景是:传输数据量⼩ (每次请求在 100kb 以内),但是并发量很⾼。 为了要⽀持⾼并发场景,⼀般是服务提供者就⼏台机器,但是服务消费者有上百台,可能每天调⽤量达到上亿次!此时⽤⻓连接 是最合适的,就是跟每个服务消费者维持⼀个⻓连接就可以,可能总共就 100 个连接。然后后⾯直接基于⻓连接 NIO 异步通信, 可以⽀撑⾼并发请求
Dubbo概述及实战
wy491525030的专栏
08-11 153
1. Dubbo 架构概述 1.1 什么是Dubbo Apache Dubbo是一款高性能的Java RPC框架。其前身是阿里巴巴公司开源的一个高性能、轻量级的开源Java RPC框架,可以和Spring框架无缝集成。 1.2 Dubbo 处理流程 调用关系说明: 虚线 代表异步调用 实线 代表同步访问 蓝色虚线 是在启动时完成的功能 红色虚线 是程序运行中执行的功能 调用流程: 服务提供者在服务容器启动时向注册中心注册自己提供的服务 服务消费者在启动时向注册中心订阅自己所需的服务
解决Dubbo在反序列化时报错
最新发布
GUILTYxc的博客
03-15 1043
STRICT参考官网关于类检查机制的说明我使用的版本默认的检查模式为STRICT,禁止反序列化所有不在允许序列化列表(白名单)中的类。共有三个模式:STRICT 严格检查,WARN 告警,DISABLE 禁用。
dubbo 序列化机制之 hessian2序列化实现原理分析
weixin_30593261的博客
03-07 589
  对于远程通信,往往都会涉及到数据持久化传输问题。往大了说,就是,从A发出的信息,怎样能被B接收到相同信息内容!小点说就是,编码与解码问题!   而在dubbo或者说是java的远程通信中,编解码则往往伴随着序列化与反序列化! 普通java对象要想实现序列化,一般有几个步骤:   1. 实现 Serializable 接口;   2. 生成一个序列号: serialVersionUID,...
谈谈Dubbo框架的实现原理及与SpringCloud微服务之间的区别
java_2017_csdn的博客
11-12 305
一、简介 Dubbo是由阿里巴巴开源的透明的高性能分布式RPC框架,基于dubbo协议实现,底层通信方式是基于TCP长连接,传输方式是NIO实现,提高服务的性能。主要有三个核心特性:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。 二、Dubbo工作原理: 第一层:service层,接口层,给服务提供者和消费者来实现的 第二层:config层,配置层,主要是对dubbo进行各种配置的 第三层:proxy层,服务代理层,透明生成客户端的stub和服务单的s
Dubbo配置常见问题
qi_ming88的博客
05-15 648
本次主要介绍Dubbo常见的一些简单问题,后续还会继续更新。 1.网卡、虚拟机网络开启,导致服务提供者无法获取到注册中心的提供者。 只要把这些虚拟机的网络关闭即可。 但是实际上,使用Dubbo都是利用zookeeper注册器,所以这个问题可以忽略。 2.实体类没有实现Serializable 3.使用注解方式配置Dubbo的使用,spring的一些注解式不可用的,比如注册依赖实体...
在Springboot中使用Dubbo踩坑
HRX98的博客
02-26 533
在SpringBoot中使用Dubbo踩坑 求大神帮忙!!!
Mysql 事务的隔离级别 一看就懂
heasy's blog
10-11 273
事务 简单来说,事务就是要保证一组数据库操作,要么全部成功,要么全部失败。 在MySQL中,事务支持是在引擎层实现的。而MySQL原生的MyISAM引擎就不支持事务,这也是MyISAM被InnoDB取代的重要原因之一。 一、隔离性与隔离级别 提到事务,我们肯定会想到ACID(Atomicity、Consistency、Isolation、Durability,即原子性、一致性、隔离性、持久...
Dubbo添加服务ip白名单,防止不法调用。
精确而优雅
06-08 7495
1.新增类ValidationFilter继承阿里巴巴的Filter package com.filter; import java.io.IOException; import java.io.InputStream; import java.util.Properties; import com.alibaba.dubbo.rpc.*; /** * Description: *...
[Timeline Sec] - CVE-2020-1948:Dubbo Provider默认反序列化复现1
08-03
声明:请勿用作违法用途,否则后果自负0x01 简介Dubbo 是 阿 里 巴 巴 公 司 开 源 的 一 个 高 性 能 优 秀 的 服 务 框 架 , 使 得
dubbo-serialization-avro:适用于avro的dubbo序列化扩展
05-01
双重序列化-avro 适用于dubbo的avro序列化工具。1.从src编译我们使用maven来构建和管理依赖项。 下载src git clone https://github.com/dubbo/dubbo-serialization-avro.git 从src构建,然后安装到本地maven存储库。...
dubbo admin dubbo可视化工具
10-27
dubbo可视化工具
Dubbo和微店的服务化历程分享.pdf
07-24
2018-05-12,dubbo meetup北京在车库咖啡举行,我作为企业用户在大会进行了演讲:《Dubbo和微店的服务化实践历程》 主要讲了公司用dubbo实施服务化过程中,遇到的一些问题和自研的相关组件
java IO流学习总结
weixin_34290096的博客
10-02 2217
java IO流学习总结 近期学习了Java的IO流,尝试着总结一下。 java.io 包下的IO流很多: 其中,以Stream结尾的为字节流,以Writer或者Reader结尾的为字符流。所有的输入流都是抽象类IuputStream(字节输入流)或者抽象类Reader(字符输入流)的子类,所有的输出流都是抽象类OutputStream(字节输出流)或者抽象类Writer(字符输出流)的...
dubbo配置及其属性参考文件,配置参考手册
bsegebr的博客
09-06 879
设为true,表示使用缺省Mock类名,即:接口名 + Mock后缀,服务接口调用失败Mock实现类,该Mock类必须有一个无参构造函数,与Local的区别在于,Local总是被执行,而Mock只在出现非业务异常(比如超时,网络异常等)时执行,Local在远程调用之前执行,Mock在远程调用后执行。令牌验证,为空表示不开启,如果为true,表示随机生成动态令牌,否则使用静态令牌,令牌的作用是防止消费者绕过注册中心直接访问,保证注册中心的授权功能有效,如果使用点对点调用,需关闭令牌功能。
HashMap源码剖析
qq_27224319的博客
11-27 300
1. HashMap概述HashMap基于哈希表的 Map 接口的实现,并且继承了AbstractMap类。HashMap允许使用null值和null键。(除了不同步和允许使用null之外,HashMap和HashTable大致相同),而且HashMap是无序的。值得注意的是HashMap不是线程安全的,如果想要线程安全的HashMap可以使用ConcurrentHashMap。Map<k,v> m
java.util.set cannot be assigned from null,为什么原始数据类型不能为“null”。在Java?...
weixin_30521175的博客
02-26 746
When declaring any primitive type data like int or double they get initialized to 0 or 0.0. Why can we not set them to null?解决方案A primitive type is just data. What we call objects, on the other hand, ...
Dubbo+JPA查询复杂对象报错:java.util.Set cannot be assigned from null
u014746226的博客
12-27 6728
Dubbo+JPA查询复杂对象报错:java.util.Set cannot be assigned from null这个问题也算是折腾了好久,网上找了好多都基本没啥卵用,这个方法可能效率啥的不太好,但问题也算解决了 目录DubboJPA查询复杂对象报错javautilSet cannot be assigned from null目录 问题描述 解决方案问题描述在使用jpa查询又关联关系的对象(
dubbo序列化开销
11-29
Dubbo支持多种序列化算法,包括Java原生序列化Hessian2、JSON、FastJSON、Kryo、FST、Protobuf等。其中,Java原生序列化是最慢的,序列化后的二进制流也是最大的;而Hessian2序列化之后的二进制流大小大约是Java...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值