1.2.29默认AutoTypeSupport是false,此时添加黑名单,是不生效的;如果AutoTypeSupport设置为true,添加黑名单才生效!向确认下,默认就是这么个逻辑?
ioekq8ef1#
反序列化漏洞 关键字拦截 java unicode编码不考虑吗? WAF也要考虑呀
Object obj = JSON.parse("{\"@\u0074\u0079\u0070\u0065\":\"java.lang.\u004f\u0062\u006a\u0065\u0063\u0074\"}"); System.out.println(obj);
63lcw9qa2#
@juaby 你的描述是正确的
2条答案
按热度按时间ioekq8ef1#
反序列化漏洞 关键字拦截 java unicode编码不考虑吗? WAF也要考虑呀
63lcw9qa2#
@juaby 你的描述是正确的