6
目前线上使用的JRE比较老,是1.5版本,fastjson称兼容1.5,但实际上是不行的。在1.2.66后,代码中很多地方使用了1.8 JRE才有的方法,比如java.time.LocalDateTime。如何在低版本中解决autoType的安全漏洞问题?
Q
[alibaba/fastjson]1.2.70(1.2.68之后)版本运行时JRE要求问题太高,导致升级后无法运行
A
回答
1
应该是只能升级到1.8
1
可以试试不升级,通过包的前缀把所有类加入到autotype的黑名单来规避这个漏洞
6
也可以先用sec10版本解决问题,原来是什么版本?
1
我找不到JDK 1.5的环境了,你能提供报错信息么?
3
https://github.com/alibaba/fastjson/releases/tag/1.2.71 1.2.71版本修复此问题,你试试看
7
使用71版本测试没有问题,谢谢