安全升級公告

最近發(fā)現(xiàn) fastjson 在 1.2.24 以及之前版本存在高危安全漏洞，為了保證系統(tǒng)安全，請升級到 1.2.28 或者更新版本。

更新方法

1. Maven 依賴配置更新

通過 maven 配置更新，使用最新版本，如下：

com.alibaba

fastjson

1.2.28

2. 直接下載

常見問題

1. 升級遇到不兼容問題怎么辦？

1.2.28 已經(jīng)修復(fù)了絕大多數(shù)兼容問題，但是總會有一些特殊的用法導(dǎo)致不兼容，如果你遇到不兼容問題，通過 https://github.com/alibaba/fastjson/wiki/incompatible_change_list 查看不兼容問題，鏈接的后面提供了遇到不兼容問題之后的使用相應(yīng)的 sec01 版本解決辦法。

2. 升級之后報錯 autotype is not support

安全升級包禁用了部分 autotype 的功能，也就是 "@type" 這種指定類型的功能會被限制在一定范圍內(nèi)使用。如果你使用場景中包括了這個功能， https://github.com/alibaba/fastjson/wiki/enable_autotype 這里有一個介紹如何添加白名單或者打開 autotype 功能。

3. 通過配置打開 autotype 之后是否存在安全漏洞

在 1.2.28 以及所有的 .sec01 版本中，有多重保護(hù)，但打開 autotype 之后仍會存在風(fēng)險，不建議打開，而是使用一個較小范圍的白名單。

4. Android環(huán)境使用是否需要升級

目前未發(fā)現(xiàn)漏洞對 Android 系統(tǒng)產(chǎn)生影響，在 Android 環(huán)境中使用不用升級。

與50位技術(shù)專家面對面20年技術(shù)見證，附贈技術(shù)全景圖

總結(jié)

以上是生活随笔為你收集整理的autotype安全 fastjson_Fastjson 安全更新，建议升级到 1.2.28 或更新版本的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。