fastjson已使用黑白名单用于防御反序列化漏洞，经研究该利用在特定条件下可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。
特定依赖存在下影响 ≤1.2.80,请确任下修复计划

建议直接抛弃fastjson

建议直接抛弃fastjson

老是出漏洞

我以后增加一下jackson和fastjson2的支持吧，2.7版本更换默认的key convertor。

版本你可以自己升级的。

当前版本（2.6）jetcache自己只是用了fastjson的序列化，没用反序列化，所以其实不受影响的。

希望能彻底去除fastjson.公司很早就要求排除fastjson的依赖了.只要存在依赖,就可能被用

希望能彻底去除fastjson.公司很早就要求排除fastjson的依赖了.只要存在依赖,就可能被用

大哥在发布的2.6.5中已经支持jackson来序列化了，引用时可以自己排除掉fastjson，不排除的话里面也升级了fastjson到1.2.83

希望能彻底去除fastjson.公司很早就要求排除fastjson的依赖了.只要存在依赖,就可能被用

大哥在发布的2.6.5中已经支持jackson来序列化了，引用时可以自己排除掉fastjson，不排除的话里面也升级了fastjson到1.2.83

是这样。其实key convertor和value encoder/decoder都可以自己实现的，非常简单。

fastjson的安全问题都和反序列化都和auto type有关，我想fastjson2不会再有这方面的问题了，jackson其实也有不少安全漏洞的。

下一个版本，我计划同时支持fastjson/fastjson2/jackson，这些依赖依赖都设置为optional，用户自己选择，并自己声明需要的依赖。

希望能彻底去除fastjson.公司很早就要求排除fastjson的依赖了.只要存在依赖,就可能被用

大哥在发布的2.6.5中已经支持jackson来序列化了，引用时可以自己排除掉fastjson，不排除的话里面也升级了fastjson到1.2.83

是这样。其实key convertor和value encoder/decoder都可以自己实现的，非常简单。

fastjson的安全问题都和反序列化都和auto type有关，我想fastjson2不会再有这方面的问题了，jackson其实也有不少安全漏洞的。

下一个版本，我计划同时支持fastjson/fastjson2/jackson，这些依赖依赖都设置为optional，用户自己选择，并自己声明需要的依赖。

请教一下大佬，我目前有一个异常，反序列化时会报错com.alibaba.fastjson.JSONException: autoType is not support，可是我配置的序列化和反序列化都是java，为什么会使用fastjson反序列化呢？