问题记录:XStream ForbiddenClassException 异常

已于 2022-07-19 01:57:39 修改
阅读量4.1k 收藏 8
点赞数 6
分类专栏: 问题记录 文章标签: java xml
于 2022-07-06 22:48:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35316141/article/details/125649268
版权

问题记录

XStream

ForbiddenClassException

今天,笔者在工作中遇到了一个解析XML的异常:

com.thoughtworks.xstream.security.ForbiddenClassException: xxx.xxx.xxx.xxx
	at com.thoughtworks.xstream.security.NoTypePermission.allows(NoTypePermission.java:26)
	at com.thoughtworks.xstream.mapper.SecurityMapper.realClass(SecurityMapper.java:74)
	at com.thoughtworks.xstream.mapper.MapperWrapper.realClass(MapperWrapper.java:125)
	at com.thoughtworks.xstream.mapper.CachingMapper.realClass(CachingMapper.java:47)
	at com.thoughtworks.xstream.core.util.HierarchicalStreams.readClassType(HierarchicalStreams.java:29)
	at com.thoughtworks.xstream.core.TreeUnmarshaller.start(TreeUnmarshaller.java:135)
	at com.thoughtworks.xstream.core.AbstractTreeMarshallingStrategy.unmarshal(AbstractTreeMarshallingStrategy.java:32)
	at com.thoughtworks.xstream.XStream.unmarshal(XStream.java:1421)
	at com.thoughtworks.xstream.XStream.unmarshal(XStream.java:1399)
	at com.thoughtworks.xstream.XStream.fromXML(XStream.java:1284)
	at com.thoughtworks.xstream.XStream.fromXML(XStream.java:1275)

有同事在解决组件漏洞的问题,可能是相关同事修改了XStream的版本。

排查GIT提交记录,Xstream版本由1.4.17升级到了1.4.19。异常信息中,看到了熟悉的security,鉴权问题。

本地版本回退至1.4.17,XML解析正常,但是笔者注意到了一个之前忽略的警告:

Security framework of XStream not explicitly initialized, using predefined black list on your own risk.

大概意思就是没有初始化XStream的安全组件,默认使用了一个。

查看XStream的版本维护文档:

http://x-stream.github.io/changes.html

在这里插入图片描述

在1.4.18的更新记录里,有这么两段话,大概意思就是,新版本的XStream默认使用了一个白名单的东西,用户必须初始化这个白名单,否则反序列化操作会失败。

于是笔者尝试将本地1.4.17版本更新至1.4.18,不出所料,仍然是ForbiddenClassException,于是准备修改方案。

参考工具:XStream官方文档,路径:

http://x-stream.github.io/javadoc/index.html

在XStream类中,查询到关于添加鉴权的方法:

在这里插入图片描述

排查到,allowTypes方法,支持根据类型、类名等参数添加权限。

修改后的代码(demo):

		/**
     * xml -> javaBean
     * @param xml
     * @param node
     * @return
     */
    public static Object simpleXmlToObject(String xml, Object... node) {
        Object obj = null;
        try {
            XStream xStream = new XStream(new DomDriver());
            for (int i = 0; i < node.length; i++) {
                Object objTemp = node[i];
                xStream.alias(objTemp.getClass().getSimpleName(), objTemp.getClass());
              	// 新增这一行,根据类型添加安全权限
                xStream.allowTypes(new Class[]{objTemp.getClass()});
            }
            obj = xStream.fromXML(xml);
        } catch (Exception e) {
            e.printStackTrace();
            throw e;
        }
        return obj;
    }

测试代码:

@Data
public class User {

    private String userId;

    private String userName;


    public static void main (String[] args) {

        String str = "<User>\n" +
                    "    <userId>1</userId>\n" +
                    "    <userName>张三</userName>\n" +
                    "</User>";

        final User user = (User)XStreamUtils.simpleXmlToObject(str, new User());

        System.out.println(user.getUserId());

        System.out.println(user.getUserName());

    }
}

sout输出:

1
张三

笔者会持续更新工作中遇到的问题以及解决方案。

好记性不如烂笔头。

愿与诸君共勉。

低卡
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Xstream:Xstream研究
04-07
**Xstream: 深入理解Xstream框架** Xstream是一个用Java编写的开源库,主要用于将Java对象序列化为XML,以及从XML反序列化回Java对象。它以其简单易用、高度可配置和安全的特性,在Java开发中广受欢迎。在本文中,...
cmuxstream.github.io:xStream网站
02-20
xStream网站是一个基于GitHub托管的项目,其代码存储在名为"cmuxstream.github.io"的仓库中。这个网站可能是为了展示、分享或者提供与xStream相关的服务或信息。"xStream"这个名字暗示它可能与数据流处理、媒体流...
Xstream ClassCastException ForbiddenClassException 同一个类转换异常
Feel Word
11-07 6296
Xstream 1.java.lang.ClassCastException 最近在一个springboot项目中使用Xstream,将xml文件读取通过注解的方式转换成java实体类,报错java.lang.ClassCastException,找了很久的原因,在这里感谢这位博主转载自 错误: java.lang.ClassCastException: com.jt.bean.xml...
com.thoughtworks.xstream.security.ForbiddenClassException
qq_30434271的博客
03-07 2113
xstreamxml转为java bean时,报了这个异常,导致解析失败,但是单独写test用例调用是没问题的,是由于权限问题引起的, 解决办法: xStream.addPermission(AnyTypePermission.ANY); 这个是以最低权限解析,可能会有反序列化攻击的风险,不太建议使用 ...
XStream问题合集(升级版本,字段缺失)
最新发布
比起日出,我更喜欢日落。我的意思是比起遇见你,我更喜欢与你终老
06-07 417
了解具体用法的可以借鉴这篇文章xstream运用,JAVA对象转xmlxmlJAVA对象-CSDN博客目录升级问题异常报错信息1com.thoughtworks.xstream.security.ForbiddenClassException解决方法需要降低限制权限异常报错信息2com.thoughtworks.xstream.converters.reflection.AbstractReflectionConverter$UnknownFieldException: No such field解决方
xstream异常com.thoughtworks.xstream.security.ForbiddenClassException
热门推荐
weixin_42228939的博客
07-14 1万+
最近项目使用到webservice调用厂商的接口,遇到的需要解析错误信息的需求,于是对于错误信息的解析使用比较暴力方式:使用XStream直接手动解析错误消息到对象。 在解析的过程中遇到了com.thoughtworks.xstream.security.ForbiddenClassException异常问题,多方寻找后找到解决方式: xStream = new XStream(); //...
com.thoughtworks.xstream.security.ForbiddenClassException com.thoughtworks.xstream 1.4.18
善守者
12-01 2193
XStream1.4.18
XStream解析json初始化异常
R先生专栏
03-08 3052
偶然间得知XStream这个框架,索性就写个小demo入门,没想到在解析json进行XStream初始化时,报错了。将报错信息及解决方案记录在此。 以下为xml序列化与反序列化 XStream xstream = new XStream(new StaxDriver()); AccessToken accessToken = new AccessToken(1, "99999999999999999999999999999"); // xml序列化
xstream-1.4.11-API文档-中文版.zip
07-14
Maven坐标:com.thoughtworks.xstream:xstream:1.4.11; 标签:thoughtworks、xstream、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,...
xstream:XStream是一种混合音乐播放器应用程序
03-10
**XStream:混合音乐播放器应用的深度解析** XStream是一款功能丰富的混合音乐播放器应用程序,它集成了多种音频格式的播放能力,旨在为用户提供一个一体化的音乐享受平台。这款应用的设计理念是将不同的音乐体验...
腾讯蓝军安全通告:XStream修复14个安全漏洞.pdf
09-18
腾讯蓝军安全通告:XStream修复14个安全漏洞 安全分析 安全意识教育 安全实践 信息安全 攻防实训与靶场
关于XStreamXmlJavaBean对象时的报错
dasengzhu0468的博客
07-16 954
这次不啰嗦那么多,就简单记录一下。 com.thoughtworks.xstream.security.ForbiddenClassException这个错误在我调用fromXML()方法突然就蹦出来了,找了很多解决方法,一个一个尝试了,最终只能大致确定的是: 1. 出现这个问题的绝大多数是XStream的1.4.x版本,升级到1.5.x可能就没这个问题了; 2. 解决这个问题,只...
关于ActiveMQ序列化对象爆“Forbidden class xxx! ...”问题的解决
weixin_34320724的博客
11-29 353
如题所示,最开始使用了默认配置:<amq:connectionFactoryid="amqConnectionFactory" brokerURL="tcp://${activemq.ip}:61616"userName="${activemq.username}" password="${activemq.passwd}"/>然后使用ActiveM...
xstream1.4.18升级报错
weixin_44754118的博客
05-23 1528
xstream 升级1.4.18 报错
XStream 从1.3.X升级到1.4.X版本遇到问题
傲慢的上校的专栏
04-15 1048
原来为第三方提供jar包使用XStream1.3.X版本,后来升级到1.4.X版本,第三方系统使用时遇到com.thoughtworks.xstream.security.ForbiddenClassException 问题。在xml转成bean类时,发现xml中user_name 中有值,但是转换的bean类中 user_name 为空,$也是关键字,默认为_-,这2个参数一个改变$的显示,一个改变_的显示。修改后,user_name 可以转换正常。因为_是关键字,默认的会变为__
Activemq消息队列启动无效以及Forbidden class问题解决
gtchendong的博客
03-31 808
    当我从apache下载来最新5.15.3的压缩包到服务器上   第一个问题, 进入bin目录下运行(这里说明下,console是表示将日志打在前台方便调试,activemq start则是运行到后台)    运行后,查看ps -aux 并没有activemq的程序运行着以及登陆http://111.231.112.54:8161/admin/queues.jsp也无法访问命令并未抛出异常,...
xstream使用的第二个小问题
weixin_34001430的博客
04-03 513
2019独角兽企业重金招聘Python工程师标准>>> ...
xstream的CVE漏洞有哪些
04-28
X是一个Java对象序列化库,它可以将Java对象序列化成XML或JSON格式。XStream的CVE漏洞主要有以下几个: 1. CVE-2013-7285:XStream反序列化漏洞,攻击者可以通过构造恶意的XML文件来执行任意代码。 2. CVE-2013-7286:XStream反序列化漏洞,攻击者可以通过构造恶意的XML文件来执行任意代码。 3. CVE-2017-7957:XStream反序列化漏洞,攻击者可以通过构造恶意的XML文件来执行任意代码。 4. CVE-2017-9805:XStream反序列化漏洞,攻击者可以通过构造恶意的XML文件来执行任意代码。 5. CVE-2020-26217:XStream反序列化漏洞,攻击者可以通过构造恶意的XML文件来执行任意代码。 需要注意的是,以上漏洞都已经被修复,建议使用最新版本的XStream以避免安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值