V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
noble4cc
V2EX  ›  Java

fastjson 现在还推荐使用吗?

  •  
  •   noble4cc · 2020-06-14 17:48:58 +08:00 · 6419 次点击
    这是一个创建于 1620 天前的主题,其中的信息可能已经有所发展或是发生改变。

    fastjson 漏洞好像很多呀,现在还推荐使用吗

    20 条回复    2020-06-15 12:17:41 +08:00
    chendy
        1
    chendy  
       2020-06-14 18:26:46 +08:00
    jackson,spring 还有其他的各种东西一样有漏洞,及时跟进更新即可
    个人除了跑 jmh 玩没用过 fastjson,spring 默认用啥我用啥(一直都是 jackson
    qwerthhusn
        2
    qwerthhusn  
       2020-06-14 18:43:01 +08:00
    jackson 了,不过 jackson 会抛 IOException 有点烦人,不需要每次都要捕获处理,可以写个工具类稍微包一下
    putaozhenhaochi
        3
    putaozhenhaochi  
       2020-06-14 19:09:45 +08:00 via Android
    其他库也是用了反射。 及时更新吧
    u5f20u98de
        4
    u5f20u98de  
       2020-06-14 19:20:11 +08:00
    echo1937
        5
    echo1937  
       2020-06-14 19:28:53 +08:00
    一般 Spring 用啥我用啥,不需要额外升级,哪怕看安全升级也看 Spring 官方的就行。
    tinycold
        6
    tinycold  
       2020-06-14 19:35:06 +08:00 via Android
    俺算不上完美型男
    彭于晏也算不上完美型男(不到 185 )

    所以找彭于晏当老公和找我都一样(✓)
    Cbdy
        7
    Cbdy  
       2020-06-14 19:40:37 +08:00 via Android
    用 Sprint 全家桶
    shuangya
        8
    shuangya  
       2020-06-14 19:54:47 +08:00 via Android
    fastjson 的漏洞很多都是历史原因,一直修修补补。
    摆脱历史包袱的方案是把安全模式开上。
    gson,jackson 啥的漏洞一样也多。
    所以其实大家都差不多,及时更新,然后哪个顺手就用哪个吧。
    Reficul
        9
    Reficul  
       2020-06-14 20:20:34 +08:00
    fastjson 换 gson 是被推荐的。
    winterbells
        10
    winterbells  
       2020-06-14 20:55:00 +08:00 via Android   ❤️ 1
    安卓,一直都用 gson (捂脸
    jaylee4869
        11
    jaylee4869  
       2020-06-14 23:13:24 +08:00   ❤️ 1
    SkyWalking 社区的推动下,阿里自家的 Nacos 已经放弃使用 FastJSON: https://github.com/alibaba/nacos/issues/2842
    sagaxu
        12
    sagaxu  
       2020-06-14 23:34:03 +08:00 via Android
    不要用 fastjson,因为 fast 不明显,bug 却很多
    不要用 gson,因为官方已经弃坑,不维护了

    目前只有 jackson 和 moshi 可选,spring 默认用哪个?

    选择主流方案,至少在出问题时,不需要解释为何要放弃主流选型。
    cco
        13
    cco  
       2020-06-15 09:01:57 +08:00
    似乎 Spring 和 ElasticSearch 默认都用 jackson,虽然都有 bug,但是相信大佬们的选择。
    另外 fastjson,我以前也是非常嗤之以鼻的,不过小项目用用无所谓了。又不是什么复杂的框架,学习成本又不高。
    ysn2233
        14
    ysn2233  
       2020-06-15 10:09:44 +08:00
    我对外的服务不用,对内用
    cubecube
        15
    cubecube  
       2020-06-15 10:14:55 +08:00
    小项目也可以用,建议写个 wrapper,回头方便替换掉。
    nicevar
        16
    nicevar  
       2020-06-15 10:15:54 +08:00
    服务端可用的选择很多, 安卓的话 fastjson 可以节省大量开发时间, 推荐使用
    ychost
        17
    ychost  
       2020-06-15 10:50:25 +08:00
    FastJSON 开 no_autotype 还好
    Resource
        18
    Resource  
       2020-06-15 11:03:23 +08:00
    短短一年时间修 bug 升级升吐了,如没必要,建议不要用
    nortonlai
        19
    nortonlai  
       2020-06-15 11:42:40 +08:00 via Android
    被这个 bug 黑洞坑了好多回了,我想把在项目里它剔除掉,苦于没有空,而且这个源码质量不是说很差吗
    gabon
        20
    gabon  
       2020-06-15 12:17:41 +08:00 via Android
    最近发生好几次被通知紧急发布修复 fastjson 漏洞了,准备全切到 Jackson 。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1815 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 16:31 · PVG 00:31 · LAX 08:31 · JFK 11:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.