我无法在网上找到哪个版本的jackson-databind可以与Spring应用程序一起使用,没有远程执行漏洞?任何帮助都很感激。
zf9nrax11#
从2.10.0版本开始,这个问题通过添加新的方法来解决:activateDefaultTyping而不是已弃用的方法集enableDefaultTyping。这个问题也是这个版本发布的原因之一。
activateDefaultTyping
enableDefaultTyping
1.解决“无尽的CVE补丁”的日益增长的问题,一个>修复报告的CVE与“多态性>反序列化”问题(在“On Jackson CVEs…”中描述)相关,>导致安全工具强制Jackson升级。2.10现在包括>“安全默认键入”,希望解决这个问题。更多你可以在这篇文章中找到:Jackson 2.10 features。示例代码:
import com.fasterxml.jackson.databind.ObjectMapper; import com.fasterxml.jackson.databind.SerializationFeature; import com.fasterxml.jackson.databind.json.JsonMapper; import com.fasterxml.jackson.databind.jsontype.BasicPolymorphicTypeValidator; import com.fasterxml.jackson.databind.jsontype.PolymorphicTypeValidator; import java.util.ArrayList; public class JsonPathApp { public static void main(String[] args) throws Exception { PolymorphicTypeValidator ptv = BasicPolymorphicTypeValidator.builder() .allowIfSubType(MyValue.class) .allowIfSubType(ArrayList.class) .build(); ObjectMapper mapper = JsonMapper.builder() .enable(SerializationFeature.INDENT_OUTPUT) .activateDefaultTyping(ptv, ObjectMapper.DefaultTyping.NON_FINAL).build(); } }
1条答案
按热度按时间zf9nrax11#
从2.10.0版本开始,这个问题通过添加新的方法来解决:
activateDefaultTyping
而不是已弃用的方法集enableDefaultTyping
。这个问题也是这个版本发布的原因之一。2.10的主要目标###回顾一下,这个次要版本有3个主要目标:
1.解决“无尽的CVE补丁”的日益增长的问题,一个>修复报告的CVE与“多态性>反序列化”问题(在“On Jackson CVEs…”中描述)相关,>导致安全工具强制Jackson升级。2.10现在包括>“安全默认键入”,希望解决这个问题。
更多你可以在这篇文章中找到:Jackson 2.10 features。
示例代码: