[alibaba/fastjson]1.2.70(1.2.68之后)版本运行时JRE要求问题太高,导致升级后无法运行

2024-05-22 233 views
3

目前线上使用的JRE比较老,是1.5版本,fastjson称兼容1.5,但实际上是不行的。在1.2.66后,代码中很多地方使用了1.8 JRE才有的方法,比如java.time.LocalDateTime。如何在低版本中解决autoType的安全漏洞问题?

回答

5

应该是只能升级到1.8

8

可以试试不升级,通过包的前缀把所有类加入到autotype的黑名单来规避这个漏洞

6

也可以先用sec10版本解决问题,原来是什么版本?

2

我找不到JDK 1.5的环境了,你能提供报错信息么?

4

使用71版本测试没有问题,谢谢