GirlsBoy
回首向来萧瑟处,归去,也无风雨也无晴。

引子

  ObjectMessage引入的生产者和消费者之间的类路径耦合,ActiveMQ支持他们作为JMS规范的一部分。 ObjectMessage对象依赖marshal/unmarshal进行java序列化,这个过程是不安全的,因为会被恶意利用。从5.12.2和5.13.0开始,ActiveMQ强制用户将ObjectMessages交换的包列入白名单。如果不根据规范进行相应的设置,则会抛出异常This class is not trusted to be serialized as ObjectMessage payload

 

 解决方案

  如果需要交换对象消息,则需要添加应用程序正在使用的包。可通过使用org.apache.activemq.SERIALIZABLE_PACKAGES由代理和activemq系统属性来做到这一点。将设置添加到脚本文件中的ACTIVEMQ_OPTS变量,${ACTIVEMQ_HOME}/bin/env

例如

-Dorg.apache.activemq.SERIALIZABLE_PACKAGES=java.lang,javax.security,java.util,org.apache.activemq,org.fusesource.hawtbuf,com.thoughtworks.xstream.mapper,com.mycompany.myapp

  将com.mycompany.myapp包添加到受信任的包列表中。请注意,此处列出的其他软件包默认启用,因为它们是常规代理工作所必需的。如果您想简化此机制,您可以使用*通配符允许所有包被信任,例如

-Dorg.apache.activemq.SERIALIZABLE_PACKAGES=*

  在客户端,也需要相同的配置,恶意代码ObjectMessage.getObject()调用时反序列化,从而损害应用程序环境。可在代理上使用相同的配置机制,并使用系统属性配置受信任的类。但是,这在客户端应用程序中不方便,在5.12.2和5.13.1中,引入额外配置,使用ActiveMQConnectionFactory,通过设置信任包和信任类添加设置。

使用setTrustedPackages()设置反序列化受信任的包列表

ActiveMQConnectionFactory factory = new ActiveMQConnectionFactory("tcp://localhost:61616");
factory.setTrustedPackages(new ArrayList(Arrays.asList("org.apache.activemq.test,org.apache.camel.test".split(","))));

使用setTrustAllPackages()设置关闭安全检查并信任所有类

ActiveMQConnectionFactory factory = new ActiveMQConnectionFactory("tcp://localhost:61616");
factory.setTrustAllPackages(true);

或者通过设置prop完成

ActiveMQConnectionFactory factory = new ActiveMQConnectionFactory("tcp://localhost:61616");
Properties props = new Properties();
props.setProperty("trustAllPackages","true");
factory.
setProperties(props);

  

更为详细的配置见官方文档:https://activemq.apache.org/objectmessage.html

posted on 2022-11-02 10:39  GirlsBoy  阅读(142)  评论(0编辑  收藏  举报

java\web应用开发&研究

梦想程序改变生活

成为一个了不起的人