个人中心
文章发布
退出
作者热门文章
- mongodb - 在 MongoDB mapreduce 中,如何展平值对象?
- javascript - 对象传播与 Object.assign
- html - 输入类型 ="submit"Vs 按钮标签它们可以互换吗?
- sql - 使用 MongoDB 而不是 MS SQL Server 的优缺点
26
4
XStream的安全框架未初始化,XStream可能存在漏洞
在使用 XStream (1.4.10) 时,此控制台错误一直显示为红色
我尝试了以下方法:
XStream.setupDefaultSecurity(xs);
和
xs.addPermission(AnyTypePermission.ANY);xs.addPermission(NoTypePermission.NONE);
没有一个能摆脱它。
我不需要任何花哨的安全设置,我只想让该警告静音。或许还要为 1.5.x 准备代码
最佳答案
在处理安全问题时,我不会掉以轻心。首先要了解问题的严重性,这里是 good write up或 another one .
然后了解人们如何推荐解决方案。最好的起点是 xstream 网站本身。在 xstream security page 上有一个示例,您可以将其用作起点。 .
这将是我的设置,它基本上允许您的大部分代码。
XStream xstream = new XStream();
// clear out existing permissions and set own ones
xstream.addPermission(NoTypePermission.NONE);
// allow some basics
xstream.addPermission(NullPermission.NULL);
xstream.addPermission(PrimitiveTypePermission.PRIMITIVES);
xstream.allowTypeHierarchy(Collection.class);
// allow any type from the same package
xstream.allowTypesByWildcard(new String[] {
"com.your.package.**"
});
但是,在深入研究他们的源代码之后,这是我的看法:
XStream.setupDefaultSecurity(this); // to be removed after 1.5
xstream.allowTypesByWildcard(new String[] {
"com.your.package.**"
});
所以本质上,升级到 1.5 后您只需要一行代码。
请注意,您可能需要更多通配符来适应您的应用程序反序列化场景。这不是一个万能的答案,而是一个很好的起点恕我直言。
关于java - XStream 的安全框架未初始化,XStream 可能存在漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44698296/
26
4
0
我有一个输入 xml 和相应的 java 类,如下所示。 name street public class Address { private String name; /
我在 Kettle 下使用 XStream 将 XML 反序列化为 Java 对象,但它总是给我带来异常:nodecom.thoughtworks.xstream.mapper.CannotResol
XStream的安全框架未初始化,XStream可能存在漏洞 在使用 XStream (1.4.10) 时,此控制台错误一直显示为红色 我尝试了以下方法: XStream.setupDefaultSe
我正在尝试解析 XML 文档,这是文档的结构 Lily Brown
对于本地转换器,在编码到 XML 时,是否可以访问父对象? 我需要使用来自第三方源的项目编码集合 - 使用存储在父对象中的 id。 唉,似乎没有办法查询通向当前对象的对象路径。或者有吗? 最佳答案 我
我在反序列化 Xml 时遇到 java 泛型和 xstream 的问题。 这是主要的DTO @XStreamAlias("OBJECTX") public class ObjectX { @X
如果你有这样的功能: List getUsers() {} 如果 getUsers 返回一个只有一个元素的 List,则生成的 JSON 只是一个 JSON 对象而不是 JSON 数组。 是否有解决方
我有一个我想用 Xstream 序列化的类结构。根类包含其他对象(不同类型)的集合。我只想序列化存储在集合中的部分对象(主要是它们的 ID,而不是每个元素的剩余内容)。 任何人都知道我该怎么做? 谢谢
这个问题在这里已经有了答案: XStream short dynamic aliases (3 个回答) 5年前关闭。 现在 XStream 使用 class.getName() 作为别名,但我想使用
在 xstream for java 中,有没有办法通过确保对象通过带有参数的特定构造函数来反序列化对象? 最佳答案 XStream(或一般的反序列化)不调用构造函数。 (除了很少使用的纯 Java
使用以下设置时出现 XStream 错误。我一定是疯了。怎么了? 请求类 @XStreamAlias("RequestTO") public class RequestTO { @XStrea
我正在使用 XStream 将我的对象序列化为 XML 格式。我得到的格式化xml如下: node1, node2, node 3 是pojo的属性,DetailDollars 我有一个要求,我必须计
我正在尝试使用 XStream 反序列化 XML。在那里我有对象 A ,它没有默认的构造函数。然后是引用对象A 的对象B。此时,A 已实例化,但所有字段均为空,即使这些值是在 XML 中定义的。 我的
我正在使用 'com.thoughtworks.xstream:xstream:1.4.10' 库并尝试解析 xml 文件。 Broker是根元素,里面还有其他标签 问题是当我生成 xml
我正在使用 XStream,但我在使用特殊字符 á、é、í、ó、ú 和 ñ 时遇到问题。 我尝试过这个: String charset = "UTF-8"; xstream = new XSt
我已经编写了一些代码来为之前写入sql的用户生成密码。然后我想将每个用户的用户名和密码写入xml。该代码似乎工作正常,除了在大约第 200 个用户时它突然停止在 xml 标记中途并结束,这非常奇怪。我
我正在使用 XStream 序列化程序来序列化原语,但在反序列化时遇到了问题。问题描述如下: 比如说,我有: int i = 80; 我将其序列化如下: serializer.toXML(i, new
我正在考虑使用 XStream 库,但我有几个问题/疑虑。 假设我有一个复杂的对象,我想使用 XStream 将其序列化为 XML(或 JSON)。 XStream 是否能够在不需要任何额外工作的情况
如何维护 Set 中未编码子对象的顺序。下面是我的xml,当转换为java对象时,我在集合中得到的顺序不是A、B、C。我怎样才能实现这一目标? 编辑:观察结果: 在我的 Comp
我目前正在使用 XStream 来序列化一些未实现 Serialized 的对象。有没有办法告诉 XStream 如果对象确实实现了 Serialized,则使用 Java 的默认序列化;如果没有实现
我是一名优秀的程序员,十分优秀!