解决方案
Fastjson 1.2.69版本暂未发布,可先采取以下缓解措施规避风险,并持续关注官方新版本发布信息。
建议升级至 Fastjson 1.2.68 版本,该版本中引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType。
有三种方式配置SafeMode:
在代码中配置
ParserConfig.getGlobalInstance().setSafeMode(true);
加上JVM启动参数
-Dfastjson.parser.safeMode=true
如果有多个包名前缀,用逗号隔开。
通过类路径的fastjson.properties文件配置
fastjson.parser.safeMode=true
请问 1.2.60 及其以下较低的版本,通过禁用哪些功能,规范哪些行为,可以永久避免漏洞的产生?
建议进行哪些设置?不要进行哪些设置?即通过规范和封装来避免漏洞
毕竟老是升级费时费力
请指教
对呀,1.2.60以下版本有兼容的补丁版本吗
兼容包都会有的,正在测试验证
任何产品都可能会有缺陷,愿fastjson越来越完善,加油。。
最近几年fastjson的安全漏洞基本上都是autotype带出来的,但autotype使用场景很窄,还是出一个不带任何开关和autotype的简化版吧
我已经受够了升级- - 再见了用 GSON去了
解决方案
Fastjson 1.2.69版本暂未发布,可先采取以下缓解措施规避风险,并持续关注官方新版本发布信息。建议升级至 Fastjson 1.2.68 版本,该版本中引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType。
有三种方式配置SafeMode:
在代码中配置
ParserConfig.getGlobalInstance().setSafeMode(true);加上JVM启动参数
-Dfastjson.parser.safeMode=true如果有多个包名前缀,用逗号隔开。
通过类路径的fastjson.properties文件配置
fastjson.parser.safeMode=true
我想请问一下ParserConfig.getGlobalInstance().setSafeMode(true);是具体加在哪?如果我采用的springboot项目,是不是直接加在main方法中就可以了?
加油
我已经受够了升级- - 再见了用 GSON去了
用sec10应该不会有兼容性问题吧,升级成本还好,温少还是很贴心的
Most helpful comment
请问 1.2.60 及其以下较低的版本,通过禁用哪些功能,规范哪些行为,可以永久避免漏洞的产生?
建议进行哪些设置?不要进行哪些设置?即通过规范和封装来避免漏洞
毕竟老是升级费时费力
请指教