This repository has been archived by the owner on Oct 23, 2024. It is now read-only.
-
Notifications
You must be signed in to change notification settings - Fork 6.5k
enable_autotype
温绍锦 edited this page Jan 13, 2021
·
12 revisions
在1.2.25之后的版本,以及所有的.sec01后缀版本中,autotype功能是受限的,和之前的版本不同,如果在升级的过程中遇到问题,可以通过以下方法配置。
- 注意:如果配置了safeMode,配置白名单也是不起作用的。
添加白名单有三种方式,三选一,如下:
ParserConfig.getGlobalInstance().addAccept("com.taobao.pac.client.sdk.dataobject."); 如果有多个包名前缀,分多次addAccept
-Dfastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao.
如果有多个包名前缀,用逗号隔开
在1.2.25/1.2.26版本支持通过类路径的fastjson.properties文件来配置,配置方式如下:
fastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao. // 如果有多个包名前缀,用逗号隔开
如果通过配置白名单解决不了问题,可以选择继续打开autotype功能,fastjson在新版本中内置了多重防护,但是还是可能会存在一定风险。两种方法打开autotype,二选一,如下:
-Dfastjson.parser.autoTypeSupport=true
ParserConfig.getGlobalInstance().setAutoTypeSupport(true); 如果有使用非全局ParserConfig则用另外调用setAutoTypeSupport(true);
打开AutoType之后,是基于内置黑名单来实现安全的,但黑名单是穷举不完的,如果发现了新的风险类,可以通过以下配置来增加黑名单:
-Dfastjson.parser.deny=xx.xxx
- 这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开
在1.2.25之后的版本支持通过类路径的fastjson.properties文件来配置,配置方式如下:
-Dfastjson.parser.deny=xx.xxx
- 这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开
ParserConfig.getGlobalInstance().addDeny("xx.xxx");- 这里的xx.xxx是包名前缀,如果有多个包名前缀,用逗号隔开
如有需要修改本注脚,请联系阿里巴巴,
© Alibaba Fastjson Develop Team
注明: 版权所有阿里巴巴,请注明版权所有者
If you need to amend this footnote, please contact Alibaba.
© Alibaba Fastjson Develop Team
Note: Copyright Alibaba, please indicate the copyright owner