enableDefaultTyping過(guò)期的原因是存在漏洞【阿里云上的漏洞公告】Jackson框架enableDefaultTyping方法反序列化漏洞

漏洞名稱Jackson框架enableDefaultTyping方法反序列化漏洞官方評(píng)級(jí)高危漏洞描述該漏洞是由于Jackson框架enableDefaultTyping方法存在Java反序列化代碼執(zhí)行漏洞，攻擊者利用漏洞可在服務(wù)器主機(jī)上執(zhí)行任意代碼或系統(tǒng)指令，取得網(wǎng)站服務(wù)器的控制權(quán)。漏洞利用條件和方式黑客可以遠(yuǎn)程代碼執(zhí)行來(lái)利用該漏洞。漏洞影響范圍Jackson 2.7 < 2.7.10

這個(gè)方法指定序列化輸入的類型
解決之前

ObjectMapper om = new ObjectMapper();om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);jackson2JsonRedisSerializer.setObjectMapper(om);template.setValueSerializer(jackson2JsonRedisSerializer);

解決方法：使用activateDefaultTyping方法替換掉enableDefaultTyping
替換方法為：

ObjectMapper om = new ObjectMapper();om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);//om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);om.activateDefaultTyping(LaissezFaireSubTypeValidator.instance ,ObjectMapper.DefaultTyping.NON_FINAL, JsonTypeInfo.As.PROPERTY);jackson2JsonRedisSerializer.setObjectMapper(om);

總結(jié)

以上是生活随笔為你收集整理的jackson.ObjectMapper里enableDefaultTyping方法过期的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。