fastJson漏洞之@type

本文介绍了如何在1.2.68及以上版本的Fastjson中启用安全模式,以避免解析可能的不安全JSON。步骤包括配置全局模式、JVM启动参数和使用fastjson.properties。重点讲解了如何通过这些方法确保代码的健壮性。
摘要由CSDN通过智能技术生成
public class User {
    private String name;

    public User() {
        System.out.println("com.server.User()");
    }

    public String getName() {
        System.out.println("getName");
        return name;
    }

    public void setName(String name) {
        System.out.println("setName");
        this.name = name;
    }
}
 public static void main(String[] args) {
        String x = "{\"name\": \"test\"}";
        Object xx = JSON.parse(x);
        System.out.println(xx);
        System.out.println();

        String y = "{\"@type\":\"com.server.User\",\"name\": \"test\"}";
        User yy = (User) JSON.parse(y);
        System.out.println(yy);
        System.out.println();

        String z = "{\"name\": \"test\"}";
        User zz = (User) JSON.parseObject(z, User.class);
        System.out.println(zz);
    }

解决方案:
升级版本至1.2.68以上版本或采用谷歌的gson

1. 在代码中配置:

ParserConfig.getGlobalInstance().setSafeMode(true);

2.加上JVM启动参数:如果有多个包名前缀,可用逗号隔开。

-Dfastjson.parser.safeMode=true

3.通过fastjson.properties文件配置:通过类路径的fastjson.properties文件来配置,配置方式如下:

fastjson.parser.safeMode=true
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值