XStream官网
新版本的变化从九年前的 1.14.12 版本开始,XStream 包含一个 安全框架,用于在反序列化时为允许的类型实现黑名单或白名单。在 1.4.17 版本之前,XStream 保留了一个默认的黑名单,以拒绝用于各种安全攻击的所有类型的 Java 运行时,以保证现有用户的最佳运行时兼容性。然而,这种方法已经失败。过去几个月已经表明,仅 Java 运行时就包含数十种可用于攻击的类型,甚至没有查看类路径上的第 3 方库。因此,新版本的 XStream 现在默认使用白名单,这也是目前优先推荐的方式。它也一直在控制台上抱怨第一次运行时未初始化的安全框架。任何遵循建议并为自己的场景初始化安全框架的人都可以轻松更新到新版本,没有任何问题。其他所有人现在都必须进行适当的初始化,否则新版本在反序列化时肯定会失败。
问题来源原来的序列化代码在更新为1.4.18后,由于没有引入白名单,导致代码报错。需要添加白名单即可。
解决方案关键代码:添加白名单
Class[] classes = new Class[] { TestBody.class};
xStream.allowTypes(classes);
以下为测试用例代码,直接可运行。
import com.thoughtworks.xstream.XStream;
public class Test {
public static void main(String[] args) {
XStream xStream = new XStream();
String xmlStr = "n" +
"1234567 n" +
"123 n" +
"123 n" +
"123 n" +
"123 n" +
"123 n" +
" ";
xStream.alias("receipt", TestBody.class);
xStream.ignoreUnknownElements();
xStream.ignoreUnknownElements();
Class[] classes = new Class[] { TestBody.class};
xStream.allowTypes(classes);
TestBody soOrderReceipt = (TestBody) xStream.fromXML(xmlStr);
System.out.println((soOrderReceipt.toString()));
}
}
注意事项
如果添加以上代码未能解决问题,则需要注意xStream对象是否为同一对象,请仔细对比以上测试用例代码
