引子
ObjectMessage引入的生产者和消费者之间的类路径耦合,ActiveMQ支持他们作为JMS规范的一部分。 ObjectMessage对象依赖marshal/unmarshal进行java序列化,这个过程是不安全的,因为会被恶意利用。从5.12.2和5.13.0开始,ActiveMQ强制用户将ObjectMessages交换的包列入白名单。如果不根据规范进行相应的设置,则会抛出异常This class is not trusted to be serialized as ObjectMessage payload
解决方案
如果需要交换对象消息,则需要添加应用程序正在使用的包。可通过使用org.apache.activemq.SERIALIZABLE_PACKAGES由代理和activemq系统属性来做到这一点。将设置添加到脚本文件中的ACTIVEMQ_OPTS变量,${ACTIVEMQ_HOME}/bin/env
例如
-Dorg.apache.activemq.SERIALIZABLE_PACKAGES=java.lang,javax.security,java.util,org.apache.activemq,org.fusesource.hawtbuf,com.thoughtworks.xstream.mapper,com.mycompany.myapp
将com.mycompany.myapp
包添加到受信任的包列表中。请注意,此处列出的其他软件包默认启用,因为它们是常规代理工作所必需的。如果您想简化此机制,您可以使用*
通配符允许所有包被信任,例如
-Dorg.apache.activemq.SERIALIZABLE_PACKAGES=*
在客户端,也需要相同的配置,恶意代码ObjectMessage.getObject()
调用时反序列化,从而损害应用程序环境。可在代理上使用相同的配置机制,并使用系统属性配置受信任的类。但是,这在客户端应用程序中不方便,在5.12.2和5.13.1中,引入额外配置,使用ActiveMQConnectionFactory,通过设置信任包和信任类添加设置。
使用setTrustedPackages()设置反序列化受信任的包列表
ActiveMQConnectionFactory factory = new ActiveMQConnectionFactory("tcp://localhost:61616"); factory.setTrustedPackages(new ArrayList(Arrays.asList("org.apache.activemq.test,org.apache.camel.test".split(","))));
使用setTrustAllPackages()设置关闭安全检查并信任所有类
ActiveMQConnectionFactory factory = new ActiveMQConnectionFactory("tcp://localhost:61616"); factory.setTrustAllPackages(true);
或者通过设置prop完成
ActiveMQConnectionFactory factory = new ActiveMQConnectionFactory("tcp://localhost:61616");
Properties props = new Properties();
props.setProperty("trustAllPackages","true");
factory.setProperties(props);
更为详细的配置见官方文档:https://activemq.apache.org/objectmessage.html