运行包含 Axon 4 的 Spring Boot 应用程序时,我在输出控制台中看到以下内容:
Security framework of XStream not initialized, XStream is probably vulnerable.
如何保护 Axon 4 中包含的 XStream?
为了澄清起见,我正在谈论如何配置 Axon 4 使用的 XStream。我不确定这是否应该在 YAML 文件或配置类之一中完成。我尝试过此答案中详细信息的每个地方都不会影响 XStream 配置,并且我仍然收到相同的警告。
更新: 根据下面的答案,这个问题似乎有两个方面。感谢下面的答案,我设法按如下方式完成此工作(基于此答案中发布的信息):
//AxonConfig.java
@Bean
XStream xstream(){
XStream xstream = new XStream();
// clear out existing permissions and set own ones
xstream.addPermission(NoTypePermission.NONE);
// allow any type from the same package
xstream.allowTypesByWildcard(new String[] {
"com.ourpackages.**",
"org.axonframework.**",
"java.**",
"com.thoughtworks.xstream.**"
});
return xstream;
}
@Bean
@Primary
public Serializer serializer(XStream xStream) {
return XStreamSerializer.builder().xStream(xStream).build();
}
我不想回答我自己的问题,因为我认为 Jan 得到了正确的答案,再加上 Steven 指出了 Spring Boot 配置。
我确信我需要削减软件包范围,并将在适当的时候这样做。感谢简和史蒂文的帮助。
这不是 Axon 特有的,请检查此问题以获取背景和解决方案:Security Framework of XStream notinitialized, XStream is likelyvulnerable
| 归档时间: |
|
| 查看次数: |
2094 次 |
| 最近记录: |