张贴在 0001

  • 序列化协议安全

    Monday, January 01, 0001 在 安全公告

    Dubbo3.0在序列化协议安全方面进行了升级加固,推荐使用Tripe协议非Wrapper模式。 该协议默认安全,但需要开发人员编写IDL文件。 Triple协议Wrapper模式下,允许兼容其它序列化数据,提供了良好的兼容性。但其它协议可能存在反序列化安全缺陷,对于Hession2协议,高安全属性用户应当按照samples代码指示,开启白名单模式,框架默认会开启黑名单模式,拦截恶意调用。 不建议使用其它序列化协议,当攻击者可访问Provider接口时,其它序列化协议的安全缺陷, …

    更多