我试图确保我以安全的方式使用 spring-boot 和 Jackson。Jackson 的某些版本中存在反序列化错误(来源: https: //github.com/FasterXML/jackson-databind/issues/1599)。
默认情况下,Spring Security 不使用 Jackson 执行反序列化,因此这是用户的显式选择(来源: https: //pivotal.io/security/cve-2017-4995)。
如果使用 Jackson 进行反序列化,则对版本 2.7、2.8、2.8.9 和 2.7.9.1 以及 2.9.0.pr3 进行修补(来源:参见owtowncoder于 4 月 13 日评论,https: //github.com/FasterXML /jackson-databind/issues/1599)并且不容易受到该错误的影响。
那么使用属于 spring、spring-boot 或 Spring Security 的 Jackson 版本执行反序列化是否安全?