解决方案 Fastjson 1.2.69版本暂未发布,可先采取以下缓解措施规避风险,并持续关注官方新版本发布信息。
建议升级至 Fastjson 1.2.68 版本,该版本中引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType。
有三种方式配置SafeMode:
在代码中配置 ParserConfig.getGlobalInstance().setSafeMode(true);
加上JVM启动参数 -Dfastjson.parser.safeMode=true
如果有多个包名前缀,用逗号隔开。
通过类路径的fastjson.properties文件配置 fastjson.parser.safeMode=true