1、問題起因
2017年3月15日,fastjson官方發布安全升級公告,該公告介紹fastjson在1.2.24及之前的版本存在代碼執行漏洞,當惡意攻擊者提交一個精心構造的序列化數據到服務端時,由於fastjson在反序列化時存在漏洞,可導致遠程任意代碼執行。 自1.2.25及之后的版本,禁用了部分autotype的功能,也就是”@type”這種指定類型的功能會被限制在一定范圍內使用。而由於反序列化對象時,需要檢查是否開啟了autotype。所以如果反序列化檢查時,autotype沒有開啟,就會報錯。
2、問題產生的場景
當調用 JSON.toJSONString(object, SerializerFeature.WriteClassName)后,得到的序列化字符串中,包含類的信息,即會含有一個“@Type”的鍵值對,描述類的信息。
例如:"{\"@type\":\"com.zhi.fund.domain.Student\",\"age\":18,\"birthday\":-1594800000000,\"name\":\"\xe6\xb1\x89\xe5\x8d\xbf\",\"status\":true,\"stuId\":2}"
3、解決方式:
參考:https://github.com/alibaba/fastjson/wiki/enable_autotype
4、FastJson的SerializerFeature屬性整理
參考:https://blog.csdn.net/u010246789/article/details/52539576
| 名稱 | 含義 |
| QuoteFieldNames | 輸出key時是否使用雙引號,默認為true |
| UseSingleQuotes | 使用單引號而不是雙引號,默認為false |
| WriteMapNullValue | 是否輸出值為null的字段,默認為false |
| WriteEnumUsingToString | Enum輸出name()或者original,默認為false |
| UseISO8601DateFormat | Date使用ISO8601格式輸出,默認為false |
| WriteNullListAsEmpty | List字段如果為null,輸出為[],而非null |
| WriteNullStringAsEmpty | 字符類型字段如果為null,輸出為”“,而非null |
| WriteNullNumberAsZero | 數值字段如果為null,輸出為0,而非null |
| WriteNullBooleanAsFalse | Boolean字段如果為null,輸出為false,而非null |
| SkipTransientField | 如果是true,類中的Get方法對應的Field是transient,序列化時將會被忽略。默認為true |
| SortField | 按字段名稱排序后輸出。默認為false |
| WriteTabAsSpecial | 把\t做轉義輸出,默認為false |
| PrettyFormat | 結果是否格式化,默認為false |
| WriteClassName | 序列化時寫入類型信息,默認為false。反序列化是需用到 |
| DisableCircularReferenceDetect | 消除對同一對象循環引用的問題,默認為false |
| WriteSlashAsSpecial | 對斜杠’/’進行轉義 |
| BrowserCompatible | 將中文都會序列化為\uXXXX格式,字節數會多一些,但是能兼容IE 6,默認為false |
| WriteDateUseDateFormat | 全局修改日期格式,默認為false。JSON.DEFFAULT_DATE_FORMAT = “yyyy-MM-dd”;JSON.toJSONString(obj, SerializerFeature.WriteDateUseDateFormat); |
| DisableCheckSpecialChar | 一個對象的字符串屬性中如果有特殊字符如雙引號,將會在轉成json時帶有反斜杠轉移符。如果不需要轉義,可以使用這個屬性。默認為false |
| NotWriteRootClassName | 含義 |
| BeanToArray | 將對象轉為array輸出 |
| WriteNonStringKeyAsString | 含義 |
| NotWriteDefaultValue | 含義 |
| BrowserSecure | 含義 |
| IgnoreNonFieldGetter | 含義 |
| WriteEnumUsingName | 含義 |