6
目前线上使用的JRE比较老,是1.5版本,fastjson称兼容1.5,但实际上是不行的。在1.2.66后,代码中很多地方使用了1.8 JRE才有的方法,比如java.time.LocalDateTime。如何在低版本中解决autoType的安全漏洞问题?
目前线上使用的JRE比较老,是1.5版本,fastjson称兼容1.5,但实际上是不行的。在1.2.66后,代码中很多地方使用了1.8 JRE才有的方法,比如java.time.LocalDateTime。如何在低版本中解决autoType的安全漏洞问题?
应该是只能升级到1.8
可以试试不升级,通过包的前缀把所有类加入到autotype的黑名单来规避这个漏洞
也可以先用sec10版本解决问题,原来是什么版本?
我找不到JDK 1.5的环境了,你能提供报错信息么?
https://github.com/alibaba/fastjson/releases/tag/1.2.71 1.2.71版本修复此问题,你试试看
使用71版本测试没有问题,谢谢