开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在GWT的序列化策略白名单中添加类型？

在GWT（Google Web Toolkit）中，序列化策略白名单是一种安全机制，用于限制在客户端和服务器之间传输的数据类型。要在GWT的序列化策略白名单中添加类型，请按照以下步骤操作：

首先，确定要添加到白名单中的类型。例如，我们将添加一个名为com.example.MyClass的类型。
在模块的.gwt.xml文件中，添加一个<inherits>标签，引入com.google.gwt.user.User模块。例如：

<inherits name="com.google.gwt.user.User"/>

在模块的.gwt.xml文件中，添加一个<extend-configuration-property>标签，将类型添加到白名单中。例如：

保存并重新编译GWT项目。现在，com.example.MyClass类型应该已经添加到了GWT的序列化策略白名单中。

请注意，这只是在白名单中添加类型的一种方法。还可以通过在Java代码中使用@IsSafeHtml或@IsTrustedResourceUri注解来添加类型。具体方法可以参考GWT官方文档：https://developers.google.com/web-toolkit/doc/latest/DevGuideSecurityRpcXss

关于腾讯云产品的推荐，鉴于问题中提到的云计算品牌商，我们暂时没有相关产品可以推荐。如果您有其他关于腾讯云的问题，欢迎随时提问。

相关搜索:如何在GWT的iframe中添加<!DOCTYPE html>？如何在GWT CellTable中的ImageCell上添加clickhandler？如何在Angular 7中的Json序列化中添加类型信息如何在DRF中序列化一个对象的多个图像(如url)？odoo 14:如何在SignUp中添加额外的字段，如地址等如何在Echarts中设置xAxis的时间类型和格式，如{hh:mm}？如何在gremlinpython中添加特定类型的属性？在Python中添加对自定义类型的序列化和反序列化支持如何在python中创建数组来存储特定类型的元素，如整数、字符..？如何在go中声明自定义类型的变量(如time.Date)？如何在javascript中添加相同类型的变量？如何在android的listview中添加进度指示器，如wifi设置如何在Avro反序列化程序中挂接逻辑类型的转换？我应该如何在rust中强制jsonwebtokens的反序列化类型？如何在微软团队中为我的应用程序清单中添加隐私策略您可以在jwt策略身份验证中添加两种类型的用户吗？在Akka类型中，如何在没有ActorSystem的情况下反序列化序列化的ActorRef？如何在Postgres的Json类型列中添加键值对如何在一个对象中序列化相同类型的对象？如何在添加整个app的接口密钥后，将FastAPI中的接口路径加入白名单？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

从FastJson库的不同版本源码中对比学习绕过方法

更新主要在com.alibaba.fastjson.parser.ParserConfig中。

03

fastjson<=1.2.68 漏洞分析

自2017年3月15日 fastjson 1.2.24版本被爆出反序列化漏洞以来，其就成为了安全人员中的重点研究对象，即使后来 fastjson 为了安全设置了checkAutoType 防御机制，也依旧没能完全杜绝新的漏洞产生，结合今日BlackHat 大会上玄武实验室的《How i use json deserialization》议题，来看看这个漏洞。

03

Fastjson小于1.2.68版本反序列化漏洞分析

迟到的Fastjson反序列化漏洞分析，按照国际惯例这次依旧没有放poc。道理还是那个道理，但利用方式多种多样。除了之前放出来用于文件读写的利用方式以外其实还可以用于SSRF。

02

猫头虎分享：Springboot项目中实现IP白名单限制访问接口的深度探讨

嗨，亲爱的读者们，我是猫头虎博主！🐾 今天，我们要一起探索的是如何在Springboot项目中巧妙地利用IP白名单来限制接口访问。这篇博客将详尽地讨论从搭建到实施的各个步骤，包括实际的测试接口和用例，以及一些额外的接口访问限制方案。无论你是初涉此领域的小白，还是资深的开发大佬，相信你都能从本文中获得有价值的知识和灵感哦！🌟

01

反序列化漏洞屡被黑客利用，危害巨大，代码怎样写才安全？

反序列化漏洞出现很久了，一直到现在都很流行，以致OWASP组织将“不安全的反序列化”列为2017年10项最严重的Web 应用程序安全风险榜的第8位。就在2017年12月22日和24日，国家信息安全漏洞共享平台（CNVD）连续发布了《关于WebLogic Server WLS 组件存在远程命令执行漏洞的安全公告》第一版和第二版。漏洞编号为CNVD-2017-31499，对应CVE-2017-10271。同时，在12月22日，各大安全网站都有报道称，黑客利用WebLogic 反序列化漏洞（CVE-201

09

JEP290的基本概念

JDK Enhancement Proposal 简称JEP，是 JDK 增强提议的一个项目，目前索引编号已经达到了JEP415，本文重点来谈谈什么是JEP290，JEP290做了哪些事，JEP290绕过的方法总结等。

03

Fastjson再曝反序列化漏洞，网友：Bugson又来了！

近日，Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险，该安全风险可能导致反序列化漏洞。漏洞描述 Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。 Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞，经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制，攻击远程服务器，风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全。影响范围 Fast

分享：安全服务工程师面试知识点大纲

布尔盲注可以使用的函数很多，例如可以使用length函数来判断需要查询的内容的字符长度，使用substring函数来读取字符串的每一个字符，使用ascii函数来转换为相应的ascii值，最后通过布尔运算来判断字符的ascii值。

04

【高危安全通告】fastjson≤1.2.80反序列化漏洞

该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇遇到问题可以到

03

漏洞分析 | Dubbo2.7.7反序列化漏洞绕过分析

北京时间2020-6-22日Apache官方发布了Dubbo 2.7.7版本，其中修复了一个严重的远程代码执行漏洞（CVE-2020-1948），这个漏洞是由腾讯安全玄武实验室的ruilin提交，该漏洞允许攻击者使用任意的服务名和方法名发送RPC请求，同时将恶意序列化参数作为有效载荷，当恶意序列化的参数被反序列化时将执行恶意代码。该漏洞与 CVE-2017-3241 RMI反序列化漏洞有点类似，都是在远程调用过程中通过方法参数传入恶意序列化对象，服务端在解析参数进行反序列化时触发。Dubbo Github

05

Fastjson反序列化漏洞风险通告

亚信安全CERT监控到Fastjson Develop Team发布安全公告，修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞。

09

高危！Fastjson反序列化远程代码执行漏洞风险通告，请尽快升级

据国家网络与信息安全信息通报中心监测发现，开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为，造成服务器权限被窃取、敏感信息泄漏等严重影响。据统计，此次事件影响Fastjson 1.2.80及之前所有版本。目前， Fastjson最新版本1.2.83已修复该漏洞。葡萄城提醒广大开发者：请及时排查梳理受影响情况，在确保安全的前提下修复漏洞、消除隐患，提高网络系统安全防护能力，严防网络攻击事件。

01

Pikachu漏洞靶场系列之综合

很多Web站点因业务需要，会开放一下文件上传的接口。而当后台没有对文件上传功能进行安全考虑或采用了有缺陷的措施，可能会导致黑客可以上传一些如一句话木马等恶意文件，并通过该恶意文件来控制整个Web后台。

02

零信任理念有望缓解fastjson软件漏洞

零信任理念有望缓解fastjson软件漏洞动态信任，缓解漏洞基于线程隔离的资源访问精细化访问控制应急响应平滑下线实时安全策略变更假定被攻击使用高版本的jdk的增加攻击难度使用反序列过滤器按需权限原则和RASP、安全sdk、沙盒的不同参考资料

02

django 1.8 官方文档翻译：13-12 验证器

验证器是一个可调用的对象，它接受一个值，并在不符合一些规则时抛出ValidationError异常。验证器有助于在不同类型的字段之间重复使用验证逻辑。

03

Fastjson < 1.2.68版本反序列化漏洞分析篇

点击上方蓝色“程序猿DD”，选择“设为星标” 回复“资源”获取独家整理的学习资料！作者 | ale_wong@云影实验室来源 | https://www.anquanke.com/post/id/219731 前言迟到的Fastjson反序列化漏洞分析，按照国际惯例这次依旧没有放poc。道理还是那个道理，但利用方式多种多样。除了之前放出来用于文件读写的利用方式以外其实还可以用于SSRF。一、漏洞概述在之前其他大佬文章中，我们可以看到的利用方式为通过清空指定文件向指定文件写入指定内容(用到第三方

02

从Kryo反序列化到Marshalsec框架到CVE挖掘

Kryo 是一个快速序列化/反序列化工具，其使用了字节码生成机制。Kryo 序列化出来的结果，是其自定义的、独有的一种格式，不再是 JSON 或者其他现有的通用格式；而且，其序列化出来的结果是二进制的（即 byte[]；而 JSON 本质上是字符串 String），序列化、反序列化时的速度也更快。

02

Real World CTF 2018 bookhub 总结

我一向出代码审计相关的题目，所以一般都直接给源码。打开源码，并简单浏览页面，发现后台登录用白名单限制了IP。

01

又遇fastjson漏洞

又是fastjson！又是这家伙！至少经历了2次+这样的场景。我不知道这家伙又得罪了哪位大仙，频繁被“黑”。fastjson到底做错了什么？为什么会被频繁爆出漏洞？但是作为一个技术人（兴趣爱好者），我更关注的是它为什么会频繁被爆漏洞？而其他的Gson却没有。通过对fastjson的releaseNote以及部分源代码进行查阅，发现此现象跟fastjson中的一个AutoType特性有关联。

02

Java反序列化(十二) | Fastjson②1.2.24-68总结

介绍什么的就不说了,简介以及1.2.24的复现和详细分析可以看 Java反序列化(十) | Fastjson – CVE-2017-18349

04

解决com.alibaba.fastjson.JSONException: autoType is not support

转载自 https://blog.csdn.net/cdyjy_litao/article/details/72458538

01

麻了！Fastjson 再曝反序列化漏洞

导读：近日 Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险，请关注。

01

使用默克尔(Merkle)树实现NFT白名单

在我们今天所知道和喜爱的区块链出现之前，默克尔树一直是密码学和计算机科学领域的一个方面。如今，我们开始慢慢看到它们在链上更频繁地被用于数据验证的目的。在这篇文章中，我将解释 Merkle Trees 如何在 NFT（ERC-721）背景下实现代币白名单的目的，它们是如何提供保证只能由预定参与者认领代币。

03

【C#与Redis】--高级主题--Redis 发布订阅

发布订阅（Publish-Subscribe）是一种消息传递模式，用于在软件系统中实现解耦和灵活的组件通信。在发布订阅模式中，消息的发送者（发布者）并不直接将消息发送给特定的接收者（订阅者），而是将消息发送到一个中心化的调度机制，通常称为消息代理或主题（topic）。订阅者可以通过订阅特定的主题来接收感兴趣的消息，从而实现了解耦和松散耦合的通信方式。核心概念包括：

01

OWASP Top10-1

在信息安全中渗透测试方向，OWASP Top10是渗透测试人员必须要深入了解和学习的，今天我们来深入了解和学习下OWASP发布的以往最重要的两个版本，研究下我们IT行业从业人员最容易引入的漏洞，后续文章将更新具体的漏洞原因，场景，防护手段，提升我们的应用抗风险能力。应用程序安全风险。攻击者可以通过应用程序中许多的不同的路径方式去危害企业业务。每种路径方式都代表了一种风险，这些风险都值得关注。

03

java序列化和序列化ID的作用

谈到java序列化其实大家都能说出一二， java对象序列化的意思就是将对象的状态转化成字节流，以后可以通过这些值再生成相同状态的对象。对象序列化是对象持久化的一种实现方法，它是将对象的属性和方法转化为一种序列化的形式用于存储和传输。反序列化当然就是对对象的重建。

02

CVE-2021-21351-Stream 反序列化命令执行漏洞复现

今天给大家介绍，XStream是一个简单易用的开源java类库，在解析XML文本时使用黑名单机制来防御反序列化漏洞，但之前的版本黑名单存在缺陷所以造成反序列化命令执行错误，下午具体来看一下复现过程吧。

02

【漏洞复现】Fastjson反序列化

Java 序列化及反序列化处理在基于Java 架构的Web应用中具有尤为重要的作用。例如位于网络两端、彼此不共享内存信息的两个Web应用在进行远程通信时，无论相互间发送何种类型的数据，在网络中实际上都是以二进制序列的形式传输的。为此，发送方必须将要发送的Java 对象序列化为字节流，接收方则需要将字节流再反序列化还原得到Java 对象，才能实现正常通信。当攻击者输入精心构造的字节流被反序列化为恶意对象时，就会造成一系列的安全问题。

01

EOS RPC API官方文档中文版【1.5版】

EOS RPC API是应用访问EOS区块链上智能合约的必备开发接口，根据所实现插件的不同，EOS RPC API被归入不同的分组：

03

Jenkins RCE漏洞分析汇总

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

03

Windows 10 S 上的 DG：滥用 InstallUtil

将详细介绍另一个 DG 绕过，而不是禁用整个策略。在这种情况下，它利用的根本原因与我之前披露的相同，.NET 通过序列化从字节数组加载不受信任的代码，但有一个有趣的转折（*spoiler*它没有使用BinaryFormatter ，主要是）。因此，我认为披露信息并没有太大的不同。MS，或者至少是 .NET 团队（嗨，Barry），不太可能很快解决 DG 和 .NET 之间的根本不兼容问题。

01

IDEA动态调试(三)——反序列化漏洞(xml+Yaml)

大多数 java 项目用来处理数据基本上都是xml 和 json 两种格式，上篇讲了fastjson的反序列化，另一个json处理库jackson的漏洞原理和利用方式类似。

02

漏洞复现 - - - Fastjson反序列化漏洞

Fastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象，即使是一些预先存在的没有源码的对象。Fastjson 源码地址：https://github.com/alibaba/fastjson

02

fastjson：差点被几个漏洞毁了一世英名

我是 fastjson，是个地地道道的杭州土著，但我始终怀揣着一颗走向全世界的雄心。这不，我在 GitHub 上的简介都换成了英文，国际范十足吧？

01

深度剖析XSS跨站脚本攻击：原理、危害及实战防御

跨站脚本攻击（Cross-Site Scripting，简称XSS）是一种常见的网络应用安全漏洞，它允许攻击者将恶意脚本注入到网页中，进而由受害者的浏览器执行。这些脚本可以窃取用户的会话凭证、篡改网页内容、重定向用户至恶意站点，甚至进行钓鱼攻击。本文将带领大家深入探讨XSS漏洞的原理、分类、危害以及如何通过最佳实践进行防御。

02

麻了！Fastjson 再曝反序列化漏洞。。

点击关注公众号，Java干货及时送达来源：© Alibaba Fastjson Develop Team github.com/alibaba/fastjson/wiki/security_update_20220523 近日 Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险，请关注。 1. 风险描述 fastjson已使用黑白名单用于防御反序列化漏洞，经研究该利用在特定条件下可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。建议f

01

06-Sentinel限流熔断应用实践[通俗易懂]

大家好，我是架构君，一个会写代码吟诗的架构师。今天说一说06-Sentinel限流熔断应用实践[通俗易懂],希望能够帮助大家进步!!!

05

Effective-java-读书笔记之序列化

deserialization bombs: 反序列化它将花费很长时间, 或永远无法完成.

05

一文带你搞懂RPC核心原理

在传输过程中，RPC并不会把请求参数的所有二进制数据整体一下子发送到对端机器上，中间可能会拆分成多个数据包，也有可能合并成其他请求的数据包。RPC协议就是为了"正确进行装包和拆包"而生的，比如使用长度限制或者标识设定边界。

02

从漏洞挖掘角度分析fastjson1.2.80 Bypass

Fastjson中parse方法或者parseObject可以将JSON串转化成Java对象，json数据外部可控的情况下可能出现fastjson反序列化漏洞。

04

Python安全之反序列化——pickle/cPickle

Python中有两个模块可以实现对象的序列化，pickle和cPickle，区别在于cPickle是用C语言实现的，pickle是用纯python语言实现的，用法类似，cPickle的读写效率高一些。使用时一般先尝试导入cPickle，如果失败，再导入pickle模块。

02

逃逸安全的模板沙箱（一）——FreeMarker（上）

作者：DEADF1SH_CAT@知道创宇404实验室时间：2020年8月24日

02

Fastjson<=1.2.68 Autotype bypass

本篇文章主要对FastJSON AutoType的校验原理，以及绕过方式进行简单的分析介绍，很多的是学习记录，文章涉及的绕过方式都是"站在巨人的肩膀上"看风景的，很后悔当初去看了Jackson-databind而丢弃了fastJSON，哎....，悔不当初呀，本文涉及的所以测试示例皆以上传到GitHub：

02

我踩过的Spring Boot统一返回体中的坑

在Spring Boot项目中我们可以通过RestControllerAdvice配合实现ResponseBodyAdvice<T>接口来保证Spring MVC接口具有统一的返回格式，以保证前端同学能够封装统一的数据接收工具。但是很多网上的文章并没有对实际开发中的细节作出更多的讲解。今天胖哥就来分享一下我的一些细节处理，也算作一个总结。

03

Apache Struts2 Remote Code Execution (S2-052)

根据官方漏洞描述，Struts2 REST插件在使用XStreamHandler反序列化XStream实例的时候没有对类进行任何限制，导致将xml数据转换成Object时产生远程代码执行漏洞（RCE）。同时，官方的解决方案是将Struts2的版本升级至2.5.13 或 2.3.34，那么先对比一下官方的版本升级代码，发现struts-2.5-2.13\src\plugins\rest\src\main\java\org\apache\struts2\rest\handler\XStreamHandler.java对类进行了一些白名单处理。

02

Unity & 微信公众号 - 实现扫码关注登录

功能需求：登录时呈现公众号二维码，用户扫描二维码后，点击关注，事件响应给程序，实现登录，若已经关注，自动进入会话，事件同样响应给程序，实现登录。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭