JFinal Weixin 2.1 发布,微信极速 SDK

JFinal
 JFinal
发布于 2018年07月10日
收藏 21

JFinal Weixin 发布四年多以来,以其简单性、稳定性,获得了大量用户的喜爱,这四年多以来 JFinal Weixin 紧跟微信官方动态,不断增加、完善功能,例如跟随本次微信官方发布的 XXE 漏洞,第一时间进行了版本更新。

在微信官方通知 XXE 的第一时间,JFinal Weixin 向 maven 中心库发布了 jfinal-weixin 2.0,
但是在 2.0 版本即将发布新闻之时,微信官方再次通知 XXE 解决方案,得知上一次解决方案是有问题的。

本次 jfinal weixin 2.1 在前几天 2.0 版本的基础上,再次细致解决 XXE 问题的同时,还做了一些工匠式的打磨,jfinal weixin changelog 2.1 如下:

  1. 改进 XmlHelper,防止 JDK 的 XML API 被实施 XXE 攻击

  2. 添加一次性订阅消息接口 SubscribeMsgApi

  3. InFollowEvent 添加 EventKey 属性

  4. 修复完善小程序二维码创建接口

  5. 修复微信周边摇一摇上传图片素材接口

  6. 去掉Base64Utils建议使用JFinal3.4中的Base64Kit

  7. 改进JsonUtils,优先使用用户设定的JsonUtils.setJsonFactory,用户没有手动设定,使用JFinal中的配置

  8. 图文消息添加评论字段
  9. 添加 AccessToken.setAccessToken(..) 用于手动设置 AccessToken
  10. MediaApi 添加 batchGetMaterial()、batchGetMaterialNews()

  11. ReturnCode 添加与发票相关的返回码

  12. ApiResult 添加 getAttrs()
  13. 修复 WxaTemplateApi 中的一处错误调用
  14. 依赖jfinal的scope改为provided

  15. 修改微信官方提供的 WXBizMsgCrypt.java 中的一处字符串比较的问题

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:JFinal Weixin 2.1 发布,微信极速 SDK
加载中

精彩评论

JFinal
JFinal

引用来自“慢慢成长”的评论

XXE的漏洞不修复会有什么后果?微信支付将不能使用么?
正常功能没有影响,只是为了防止恶意攻击,具体信息可以看一下微信官方的通知:
https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

简单说就是攻击者制造特定的 XML 内容,而 JDK 对 XML 解析时会执行其中的恶意代码,跟 sql 注入类似

当然,这个问题并不是很严峻,因为攻击者首先要知道你的微信程序接收 XML 的入口
欲风
欲风
赞赞赞~ 使用靠谱的 sdk 就是省心,只管用就好了。jfinal-wexin sdk 值得信赖。 :heartbeat:
杜福忠
杜福忠
:dizzy::boom::sparkles::sparkling_heart:
TerryZ
TerryZ
极速起飞
Javen-IJPay
Javen-IJPay
weixin_guide 已更新到最新2.1版本,一次性订阅消息具体使用可以参考https://blog.csdn.net/zyw_java/article/details/76222006

最新评论(23

g
g461115222
替换之后有时候报 将功能“。。。”设置为真时 不允许使用DOCTYPE 这个是咋回事呢?
-BlueSky-
-BlueSky-
:thumbsup:
江南红衣
江南红衣
感谢波总
白痴糊涂人
白痴糊涂人
虽然用的还是1.9,但是还是支持一下:thumbsup:
Javen-IJPay
Javen-IJPay
weixin_guide 已更新到最新2.1版本,一次性订阅消息具体使用可以参考https://blog.csdn.net/zyw_java/article/details/76222006
理工男海哥
理工男海哥
一直在使用...
x
xpflyloong

引用来自“TerryZ”的评论

极速起飞
:smile: 好同志呀。
Role
Role
:clap::clap::clap::thumbsup:
浅笑安然W
浅笑安然W
太速度了
JFinal
JFinal

引用来自“慢慢成长”的评论

XXE的漏洞不修复会有什么后果?微信支付将不能使用么?
正常功能没有影响,只是为了防止恶意攻击,具体信息可以看一下微信官方的通知:
https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

简单说就是攻击者制造特定的 XML 内容,而 JDK 对 XML 解析时会执行其中的恶意代码,跟 sql 注入类似

当然,这个问题并不是很严峻,因为攻击者首先要知道你的微信程序接收 XML 的入口
返回顶部
顶部