2025-04-22 11:29
@北流家园网 如果你之前用的是fastjson-1.2.83,最好的办法就是换成fastjson-1.2.83_noneautotype.jar,这个库就是把autotype去掉的了,彻底解决安全问题。换成fastjson-2.0.57(注意这个是兼容fastjson1的库,就是把fastjson2用fastjson的api包装了一层,底层是调的fastjson2)并且配置ParserConfig.getGlobalInstance().setSafeMode(true),我的测试是常见的实例化对象都可以过滤(注意是会抛异常,记得拦截异常)。但这个是靠fastjson库里内置的黑名单实现的,这个黑名单会不断增加,但就怕安全部门发现黑名单之外的对象也可以实例化,估计还是过不了。我个人建议,如果之前用的是fastjson-1.2.83,直接换成fastjson-1.2.83_noneautotype.jar,就不操这个心了。
2025-04-18 09:52
@杜福忠 已经做测试。结果如下:1、根据官方说明,可以在configConstant 里再增加ParserConfig.getGlobalInstance().setSafeMode(true)代码,可以全局开启fastjson的autotype的黑名单功能,只要@type指定的类名在fastjson的jar包里的黑名单里,就可以控制住。但需要依赖fastjson库里黑名单的不断完善,有可能过不了等保扫描。2、把依赖库fastjson-1.2.83.jar换成fastjson-1.2.83_noneautotype.jar,这样就完全屏蔽了autotype功能,彻底解决fastjson的这个安全问题。3、升级到fastjson2,我测试的是这个坐标:
com.alibaba
fastjson
2.0.57
这是兼容fastjson1但实际使用的是fastjson2的库,测试也可以通过,但一样是需要在在configConstant 里再增加ParserConfig.getGlobalInstance().setSafeMode(true)代码。
最后感谢杜总的大力支持!
2025-04-17 14:52
@杜福忠 确实是启用了me.setResolveJsonRequest(true),那我是不是只要在configConstant 里再增加ParserConfig.getGlobalInstance().setSafeMode(true);就可以全局禁用autoType了?
2025-04-17 14:48
quartz可以通过配置,适配多节点调度。
#
#============================================================================
# Configure Main Scheduler Properties 调度器属性
#============================================================================
org.quartz.scheduler.instanceName: DefaultQuartzScheduler
org.quartz.scheduler.instanceId = AUTO
org.quartz.scheduler.rmi.export: false
org.quartz.scheduler.rmi.proxy: false
org.quartz.scheduler.wrapJobExecutionInUserTransaction: false
org.quartz.threadPool.class: org.quartz.simpl.SimpleThreadPool
org.quartz.threadPool.threadCount= 10
org.quartz.threadPool.threadPriority: 5
org.quartz.threadPool.threadsInheritContextClassLoaderOfInitializingThread: true
#============================================================================
# Configure JobStore
#============================================================================
#存储方式使用JobStoreTX,也就是数据库
org.quartz.jobStore.class: org.quartz.impl.jdbcjobstore.JobStoreTX
org.quartz.jobStore.driverDelegateClass:org.quartz.impl.jdbcjobstore.StdJDBCDelegate
#使用自己的配置文件
org.quartz.jobStore.useProperties:true
#数据库中quartz表的表名前缀
org.quartz.jobStore.tablePrefix:QRTZ_
org.quartz.jobStore.dataSource:QuartzDS
#是否使用集群(如果项目只部署到 一台服务器,就不用了)
org.quartz.jobStore.isClustered = false
org.quartz.jobStore.misfireThreshold: 60000
org.quartz.jobStore.clusterCheckinInterval: 10000
#============================================================================
# Configure Datasources
#============================================================================
#配置数据库源
org.quartz.dataSource.QuartzDS.connectionProvider.class: cn.york.common.quartz.util.DruidConnectionProvider
org.quartz.dataSource.QuartzDS.driver: com.mysql.cj.jdbc.Driver
org.quartz.dataSource.QuartzDS.url: jdbc:mysql://192.168.0.46:3306/pt?allowMultiQueries=true&useUnicode=true&characterEncoding=UTF-8&useSSL=false&autoReconnect=true
org.quartz.dataSource.QuartzDS.user: root
org.quartz.dataSource.QuartzDS.password: ***********
org.quartz.dataSource.QuartzDS.validationQuery: select 0 from dual
org.quartz.dataSource.QuartzDS.maxConnection: 10
然后你就需要实现cn.york.common.quartz.util.DruidConnectionProvider这个数据源就行了
2024-12-07 13:13
@杜福忠 可能是我没描述清楚,DDL无所谓。主要是执行DDL,会让DDL执行之前对数据库的update强制提交,后面如果业务出现错误,要回滚,只能回滚DDL之后的update操作。DDL语句前面对数据库的update操作就不回滚了。
2024-12-05 11:33
@HingLo 如果你真需要保留历史上传文件记录,还是考虑引入OSS吧,minio是个不错的选择。既可以保留历史记录,还能存海量文件。并且可以解决后端集群部署的时候,读文件的问题。
2024-11-29 15:56
@JFinal 提到sql注入,有没有好的解决方案?或则jfinal提供一个预防sql注入的功能?最近被sql注入搞的头大。
2024-11-17 14:32
@杜福忠 市面上唯一能上生产的就是seata,但它好像只支持dubbo的rpc框架。我的rpc是基于thrift自己实现的。
