為什么禁用FastJson

這篇文章主要介紹“為什么禁用FastJson”，在日常操作中，相信很多人在為什么禁用FastJson問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”為什么禁用FastJson”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

FastJson簡介

Fastjson是阿里巴巴的開源JSON解析庫，基于Java語言，支持JSON格式的字符串與JavaBean之間的相互轉換。它采用一種“假定有序快速匹配”的算法，把JSON  Parse的性能提升到了極致。

由于接口簡單易用，已經被廣泛使用在緩存序列化，協議交互，Web輸出等各種應用場景中。

FastJson的簡單示例

先用一個簡單的示例來演示一下FastJson的使用。先在項目中引入FastJson類庫：

<dependency>     <groupId>com.alibaba</groupId>     <artifactId>fastjson</artifactId>     <version>1.2.70</version> </dependency>

關于版本至少要在1.2.70以上，為啥?之前版本的漏洞太多。

定義個JavaBean，我們拿User為例：

public class User {      private String userName;      private int age;      private String address;          // getter/setter }

使用實例：

public static void main(String[] args) {      String json = "{\"address\":\"Beijing\",\"age\":28,\"user_name\":\"Tom\"}";     // 將json轉換為JavaBean     User user = JSONObject.parseObject(json, User.class);     System.out.println(user);      // 將JavaBean轉換為json     String result = JSONObject.toJSONString(user);     System.out.println(result); }

實例中先將json字符串通過parseObject轉換成User對象，然后又將User對象通過toJSONString方法轉換成json。用起來是不是非常方便?

同時在構造json時你是否發現json字符串中有“user_name”這樣的格式，FastJson默認會將這種下劃線格式的key，與JavaBean中駝峰格式的屬性進行綁定。

執行程序，打印結果：

User(userName=Tom, age=28, address=Beijing) {"address":"Beijing","age":28,"userName":"Tom"}

可以看出成功執行。

FastJson還有其他一些常用的API，比如：

public static final Object parse(String text); // 把JSON文本parse為JSONObject或者JSONArray  public static final JSONObject parseObject(String text)； // 把JSON文本parse成JSONObject     public static final <T> T parseObject(String text, Class<T> clazz); // 把JSON文本parse為JavaBean  public static final JSONArray parseArray(String text); // 把JSON文本parse成JSONArray  public static final <T> List<T> parseArray(String text, Class<T> clazz); //把JSON文本parse成JavaBean集合  public static final String toJSONString(Object object); // 將JavaBean序列化為JSON文本  public static final String toJSONString(Object object, boolean prettyFormat); // 將JavaBean序列化為帶格式的JSON文本  public static final Object toJSON(Object javaObject); //將JavaBean轉換為JSONObject或者JSONArray。

通過上述API還可以實現：json字符串與JSONArray之間的轉換、json字符串與javaBean之間的轉換、json字符串-數組類型與javaBean之間的轉換、JavaList與JsonArray之間的轉換等。

為什么決定放棄FastJson

通過上面的示例來看FastJson的API使用起來也是非常簡單，而且它的特點，也就是賣點就是“快”。

雖然網上有各種測試，質疑FastJson的“快”，但排除測試者測試用例或環境的影響，整體來看FastJson并不比市面上的其他同類框架慢。

那么放棄使用的原因是什么呢?

流行度

首先，它并不像我們想象中那么大受歡迎。來看一下FastJson的Maven引用量數據統計(來源https://mvnrepository.com/)：

fastjson

可以看出FastJson排行第四，僅次于第三位的JSON In  Java。如果考慮到國內大多數用阿里鏡像，那么FastJson的排位要更靠前一些，但與Jackson相比差距還是有的。

設計與代碼質量

在國外沒有更受推廣的原因大概有兩個：推廣(外加英文文檔)和代碼質量。

外國友人不喜歡FastJson是因為感覺代碼質量不高。知乎上有一篇相關的文章，雖然寫2016年，但也可以參考一下(鏈接：https://www.zhihu.com/question/44199956)。

fastjson

對于上述原因，我個人倒是更看重高贊回答中的總結“用很多投機取巧的的做法去實現所謂的'快'，而失去了原本應該兼容的java特性，對json標準遵循也不嚴格”。

是的，正是因為這個類庫來源于阿里的實踐，很多最初的設計與標準有一定的差距。而且已經被大量應用，就很難在后期改動。外加還經常出現不兼容性升級。

開源Issues

在寫這篇文章時，看了一下GitHub上項目的Issues，還有大量的需要修復的問題。而且版本還在頻繁的更新，修復升級。

fastjson

還有1488個問題處于Open狀態!看到此處，真的有些擔心了。用的人多，提問題的人多，也可以從另外一個方面來說可能更安全，但如果還有這么多問題待解決，還是有些恐怖的。

漏洞修復歷史

同時，前段時間FastJson多次被爆存在漏洞，而這些漏洞都與FastJson中的一個AutoType特性有關。

從2019年7月份發布的v1.2.59一直到2020年6月份發布的 v1.2.71 ，每個版本的升級中都有關于AutoType的升級。

1.2.59發布，增強AutoType打開時的安全性 fastjson  1.2.60發布，增加了AutoType黑名單，修復拒絕服務安全問題 fastjson  1.2.61發布，增加AutoType安全黑名單 fastjson  1.2.62發布，增加AutoType黑名單、增強日期反序列化和JSONPath fastjson  1.2.66發布，Bug修復安全加固，并且做安全加固，補充了AutoType黑名單 fastjson  1.2.67發布，Bug修復安全加固，補充了AutoType黑名單 fastjson  1.2.68發布，支持GEOJSON，補充了AutoType黑名單。（引入一個safeMode的配置，配置safeMode后，無論白名單和黑名單，都不支持autoType。） fastjson  1.2.69發布，修復新發現高危AutoType開關繞過安全漏洞，補充了AutoType黑名單 fastjson  1.2.70發布，提升兼容性，補充了AutoType黑名單

那么什么是AutoType?為什么又會導致漏洞呢?

對于JSON框架Java對象轉換成字符串通?？梢曰趯傩曰騭etter/getter方法。FastJson和Jackson是通過遍歷出該類中的所有getter方法進行的，Gson是通過反射遍歷該類中的所有屬性，并把其值序列化成json。。

當一個類中包含了一個接口(或抽象類)，在使用FastJson進行序列化的時候，會將子類型抹去，只保留接口(抽象類)的類型，使得反序列化時無法拿到原始類型。

因此，FastJson引入了AutoType，在序列化時把原始類型記錄下來。

有了autoType功能，FastJson在對JSON字符串進行反序列化時，會讀取@type到內容，試圖把JSON內容反序列化成對象，并且會調用它的setter方法。利用這個特性，就可以構造一個JSON字符串，并且使用@type指定一個自己想要使用的攻擊類庫。

到此，關于“為什么禁用FastJson”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續學習更多相關知識，請繼續關注億速云網站，小編會繼續努力為大家帶來更多實用的文章！