简介
fastjson最近出现漏洞,名为Fastjson反序列化漏洞
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。OSCS开源软件社区对此漏洞进行收录,漏洞信息如下:
漏洞评级:严重
影响组件:com.alibaba:fastjson
影响版本:<= 1.2.80
更多漏洞详细信息可进入OSCS社区查看:https://www.oscs1024.com/hd/MPS-2022-11320
jackson替换方案
所以尽量少用或者慎用fastjson,不知道以后还会出现什么样的漏洞,如果你一定要使用,尽量使用较新版本的,或者最高版本的比较好一点
使用jackson可以代替json字符串和List泛型互转,编写一个工具类
JackSonUtils.java
public class JackSonUtils {
/**
* json字符串转成list
*
* @param jsonString
* @param cls
* @return
*/
private static final ObjectMapper mapper = new ObjectMapper();
static {
mapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false);
}
public static <T> List<T> jsonToList(@NonNull String jsonString, Class<T> cls) {
try {
return mapper.readValue(jsonString, getCollectionType(cls));
} catch (IOException e) {
throw new RuntimeException(e);
}
}
public static <T> String listToString(List<T> list) {
try {
return mapper.writeValueAsString(list);
} catch (JsonProcessingException e) {
throw new RuntimeException(e);
}
}
/**
* Object对象转List集合
*/
public static <T> List<T> objectToList(@NonNull Object obj, Class<T> cls) {
try {
String s = mapper.writeValueAsString(obj);
return jsonToList(s, cls);
} catch (JsonProcessingException e) {
throw new RuntimeException(e);
}
}
/**
* Object对象转指定对象
*/
public static <T> T objectToMap(@NonNull Object obj, Class<T> cls) {
return mapper.convertValue(obj,cls);
}
/**
* 获取泛型的Collection Type
*
* @param elementClasses 实体bean
* @return JavaType Java类型
*/
private static JavaType getCollectionType(Class<?>... elementClasses) {
return mapper.getTypeFactory().constructParametricType(List.class, elementClasses);
}
}
然后我们就可以使用工具类里的两个方法进行互转了