Resty 正在参加 2021 年度 OSC 中国开源项目评选,请投票支持!
Resty 在 2021 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
2021 年度 OSC 中国开源项目评选 正在火热进行中,快来投票支持你喜欢的开源项目!
2021 年度 OSC 中国开源项目评选 >>> 中场回顾
Resty 获得 2021 年度 OSC 中国开源项目评选「最佳人气项目」 !
授权协议 Apache
开发语言 Java
操作系统 跨平台
软件类型 开源软件
所属分类 Web应用开发Web框架
开源组织
地区 国产
投 递 者 Dreampie
适用人群 未知
收录时间 2015-01-04

软件简介

源码链接:OSC -> Resty   Github -> Resty   在线开发手册

如果你还不是很了解restful,或者认为restful只是一种规范不具有实际意义,推荐一篇osc两年前的文章:RESTful API 设计最佳实践  和 Infoq的一篇极其理论的文章  理解本真的REST架构风格 虽然有点老,介绍的也很简单,大家权当了解,restful的更多好处,还请google

拥有jfinal/activejdbc一样的activerecord的简洁设计,使用更简单的restful框架

部分设计也来自jfinal+activejdbc+restx,也希望大家多多支持开源,开源不比较框架之间的优劣,只描述自己的想法。

restful的api设计,是作为restful的服务端最佳选择(使用场景:客户端和服务端解藕,用于对静态的html客户端(mvvm等),ios,andriod等提供服务端的api接口)

下载jar包: Resty jar

maven使用方式:
1. 添加maven snapshots仓库

<repositories>
    <repository>
      <id>oss-snapshots</id>
      <url>https://oss.sonatype.org/content/repositories/snapshots</url>
      <releases>
        <enabled>false</enabled>
      </releases>
      <snapshots>
        <enabled>true</enabled>
      </snapshots>
    </repository>
  </repositories>

2. 添加依赖包

<dependency>
    <groupId>cn.dreampie</groupId>
    <artifactId>resty-route</artifactId>
    <version>1.0-SNAPSHOT</version>
</dependency>

重大更新:

Record的时代已经到来,你完全不用使用任何的model来执行你的数据 

//创建record的执行器  针对sec_user表 并开启缓存
Record recordDAO = new Record("sec_user",true);
//使用当前数据源和表数据 new一个对象来保存数据
recordDAO.reNew().set("属性", "值").save();
Record r1 = recordDAO.reNew().set("属性", "值");
Record r2 = recordDAO.reNew().set("属性", "值");
//批量保存
recordDAO.save(r1, r2);
//更新
r2.set("属性", "值").update()
//查询全部
List<Record> records = recordDAO.findAll();
//条件查询
recordDAO.findBy(where,paras)
//分页查询
Page<Record> records = recordDAO.paginateAll();
//根据id删除
recordDAO.deleteById("1");

//本次查询放弃使用cache 
recordDAO.unCache().findBy(where,paras);
//把record的数据源切换到dsName数据源上
recordDAO.useDS(dsName).findBy(where,paras);

//等等,完全摆脱model,实现快速操作数据

//Model支持动态切换数据源和本次查询放弃使用cache

User dao=new User();
//本次查询放弃使用cache 
dao.unCache().findBy(where,paras);
//把model的数据源切换到dsName数据源上
dao.useDS(dsName).findBy(where,paras);

//数据库和全局参数配置移植到application.properties  详情参看resty-example

//not must auto load
app.encoding=UTF-8
app.devMode=true
app.showRoute=true
app.cacheEnabled=true


//druid plugin auto load
//dsName is "default"  you can use everything
db.default.url=jdbc:mysql://127.0.0.1/example?useUnicode=true&characterEncoding=UTF-8
db.default.user=dev
db.default.password=dev1010
db.default.dialect=mysql
druid.default.initialSize=10
druid.default.maxPoolPreparedStatementPerConnectionSize=20
druid.default.timeBetweenConnectErrorMillis=1000
druid.default.filters=slf4j,stat,wall

//flyway database migration auto load
flyway.default.valid.clean=true
flyway.default.migration.auto=true
flyway.default.migration.initOnMigrate=true


//数据库的配置精简  自动从文件读取参数  只需配置model扫描目录 和dsName
public void configPlugin(PluginLoader pluginLoader) {
  //第一个数据库
  ActiveRecordPlugin activeRecordPlugin = new ActiveRecordPlugin(new DruidDataSourceProvider("default"), true);
  activeRecordPlugin.addIncludePaths("cn.dreampie.resource");
  pluginLoader.add(activeRecordPlugin);
}

一、独有优点:

1.极简的route设计:

  @GET("/users/:name")  //在路径中自定义解析的参数 如果有其他符合 也可以用 /users/{name}
// 参数名就是方法变量名  除路径参数之外的参数也可以放在方法参数里  传递方式 user={json字符串}
public Map find(String name,User user) {
  // return Lister.of(name);
  return Maper.of("k1", "v1,name:" + name, "k2", "v2");//返回什么数据直接return,完全融入普通方法的方式
}

2.极简的activerecord设计,数据操作只需短短的一行 ,支持批量保存对象

//批量保存
User u1 = new User().set("username", "test").set("providername", "test").set("password", "123456");
User u2 = new User().set("username", "test").set("providername", "test").set("password", "123456");
User.dao.save(u1,u2);

//普通保存
User u = new User().set("username", "test").set("providername", "test").set("password", "123456");
u.save();

//更新
u.update();
//条件更新
User.dao.updateBy(columns,where,paras);
User.dao.updateAll(columns,paras);

//删除
u.deleted();
//条件删除
User.dao.deleteBy(where,paras);
User.dao.deleteAll();

//查询
User.dao.findById(id);
User.dao.findBy(where,paras);
User.dao.findAll();

//分页
User.dao.paginateBy(pageNumber,pageSize,where,paras);
User.dao.paginateAll(pageNumber,pageSize);

3.极简的客户端设计,支持各种请求,文件上传和文件下载(支持断点续传)

Client client=null;//创建客户端对象
//启动resty-example项目,即可测试客户端
String apiUrl = "http://localhost:8081/api/v1.0";
//如果不需要 使用账号登陆
//client = new Client(apiUrl);
//如果有账号权限限制  需要登陆
client = new Client(apiUrl, "/tests/login", "u", "123");

//该请求必须  登陆之后才能访问  未登录时返回 401  未认证
ClientRequest authRequest = new ClientRequest("/users", HttpMethod.GET);
ResponseData authResult = client.build(authRequest).ask();
System.out.println(authResult.getData());

//get
ClientRequest getRequest = new ClientRequest("/tests", HttpMethod.GET);
ResponseData getResult = client.build(getRequest).ask();
System.out.println(getResult.getData());

//post
ClientRequest postRequest = new ClientRequest("/tests", HttpMethod.POST);
postRequest.addParameter("test", Jsoner.toJSONString(Maper.of("a", "谔谔")));
ResponseData postResult = client.build(postRequest).ask();
System.out.println(postResult.getData());

//put
ClientRequest putRequest = new ClientRequest("/tests/x", HttpMethod.PUT);
ResponseData putResult = client.build(putRequest).ask();
System.out.println(putResult.getData());


//delete
ClientRequest deleteRequest = new ClientRequest("/tests/a", HttpMethod.DELETE);
ResponseData deleteResult = client.build(deleteRequest).ask();
System.out.println(deleteResult.getData());


//upload
ClientRequest uploadRequest = new ClientRequest("/tests/resty", HttpMethod.POST);
uploadRequest.addUploadFiles("resty", ClientTest.class.getResource("/resty.jar").getFile());
uploadRequest.addParameter("des", "test file  paras  测试笔");
ResponseData uploadResult = client.build(uploadRequest).ask();
System.out.println(uploadResult.getData());


//download  支持断点续传
ClientRequest downloadRequest = new ClientRequest("/tests/file", HttpMethod.GET);
downloadRequest.setDownloadFile(ClientTest.class.getResource("/resty.jar").getFile().replace(".jar", "x.jar"));
ResponseData downloadResult = client.build(downloadRequest).ask();
System.out.println(downloadResult.getData());

4.支持多数据源和嵌套事务(使用场景:需要访问多个数据库的应用,或者作为公司内部的数据中间件向客户端提供数据访问api等)

// 在resource里使用事务,也就是controller里,rest的世界认为所以的请求都表示资源,所以这儿叫resource
@GET("/users")
@Transaction(name = {DS.DEFAULT_DS_NAME, "demo"}) //多数据源的事务,如果你只有一个数据库  直接@Transaction 不需要参数
public User transaction() {
//TODO 用model执行数据库的操作  只要有操作抛出异常  两个数据源 都会回滚  虽然不是分布式事务  也能保证代码块的数据执行安全
}

// 如果你需要在service里实现事务,通过java动态代理(必须使用接口,jdk设计就是这样)
public interface UserService {
  @Transaction(name = {DS.DEFAULT_DS_NAME, "demo"})//service里添加多数据源的事务,如果你只有一个数据库  直接@Transaction 不需要参数
  public User save(User u);
}
// 在resource里使用service层的 事务
// @Transaction(name = {DS.DEFAULT_DS_NAME, "demo"})的注解需要写在service的接口上
// 注意java的自动代理必须存在接口
// TransactionAspect 是事务切面 ,你也可以实现自己的切面比如日志的Aspect,实现Aspect接口
// 再private UserService userService = AspectFactory.newInstance(new UserServiceImpl(), new TransactionAspect(),new LogAspect());
private UserService userService = AspectFactory.newInstance(new UserServiceImpl(), new TransactionAspect());

5.极简的权限设计,你只需要实现一个简单接口和添加一个拦截器,即可实现基于url的权限设计

public void configInterceptor(InterceptorLoader interceptorLoader) {  //权限拦截器 放在第一位 第一时间判断 避免执行不必要的代码
  interceptorLoader.add(new SecurityInterceptor(new MyAuthenticateService()));
}
//实现接口
public class MyAuthenticateService implements AuthenticateService {  
//登陆时 通过name获取用户的密码和权限信息
  public Principal findByName(String name) {
    DefaultPasswordService defaultPasswordService = new DefaultPasswordService();

    Principal principal = new Principal(name, defaultPasswordService.hash("123"), new HashSet<String>() {{
      add("api");
    }});    
    return principal;
  }  
  //基础的权限总表  所以的url权限都放在这儿  你可以通过 文件或者数据库或者直接代码 来设置所有权限
  public Set<Credential> loadAllCredentials() {
      Set<Credential> credentials = new HashSet<Credential>();
      credentials.add(new Credential("GET", "/api/v1.0/users**", "users"));
      return credentials;
  }
}

6.极简的缓存设计,可扩展,非常简单即可启用model的自动缓存功能

public void configConstant(ConstantLoader constantLoader) {
  //启用缓存并在要自动使用缓存的model上  开启缓存@Table(name = "sec_user", cached = true)
  constantLoader.setCacheEnable(true);
}

@Table(name = "sec_user", cached = true)
public class User extends Model<User> {
  public static User dao = new User();

}

7.下载文件,只需要直接return file

@GET("/files")
public File file() {
  return new File(path);
}

8.上传文件,通过@FILE注解件写到服务器

@POST("/files")
@FILE(dir = "/upload/") //配置上传文件的相关信息
public UploadedFile file(UploadedFile file) {    
  return file;
}

9.当然也是支持传统的web开发,你可以自己实现数据解析,在config里添加自定义的解析模板

public void configConstant(ConstantLoader constantLoader) {
  // 通过后缀来返回不同的数据类型  你可以自定义自己的  render  如:FreemarkerRender
  // constantLoader.addRender("json", new JsonRender());
  //默认已添加json和text的支持,只需要把自定义的Render add即可
}

二、运行example示例:

1.运行根目录下的pom.xml->install (把相关的插件安装到本地,功能完善之后发布到maven就不需要这样了)

2.在本地mysql数据库里创建demo,example数据库,对应application.properties的数据库配置

3.运行resty-example下的pom.xml->flyway-maven-plugin:migration,自动根具resources下db目录下的数据库文件生成数据库表结构

4.运行resty-example下的pom.xml->tomcat7-maven-plugin:run,启动example程序

提醒:推荐idea作为开发ide,使用分模块的多module开发




展开阅读全文

代码

评论

点击加入讨论🔥(20) 发布并加入讨论🔥
发表了资讯
2016/01/17 00:00

RESTful框架Resty(客户端+服务端)进入国外著名极简框架排行榜

Restful极简框架Resty,自上月受到首位俄罗斯用户关注之后,今日被收录至国外一著名(2.5k+star 也许只是收录者的自我感觉,Resty受到认可也是不错的,让我小小的虚荣一把吧 )的极简框架排行榜ListOfMinimalistFrameworks,再度进入国际视野,同时近日github star数达到520,1年时间还是比较满意的,虽然Resty目前文档尚不完整(新的文档正在更新中),拦不住大家的热情,在此谢谢大家的支持。 如果你想体验极简的RESTful框架,欢迎...

11
82
发表了资讯
2015/12/08 00:00

Resty 1.2.0-SNAPSHOT 更新,可通过header来控制api的版本,数据源读写分离

Resty目前积累到450 star,还有1个多月满一年了,在没有推广的情况下如果能积累到500 star,真是棒棒的,如果觉得不错可以给颗心(https://github.com/Dreampie/Resty),希望大家多多鼓励,也希望有心的同学参与维护,开源说明它属于大家,无论你使用或者作为一个框架的基础学习还是从中得到灵感做出好用的东西 都希望你能和大家一起分享 开源希望大家互相帮助 本次更新说大不大说小不小,主要解决一下对api的控制问题: 1.使用h...

3
35
发表了资讯
2015/10/12 00:00

Resty 1.1.0-SNAPSHOT 版,极简 restful 框架,快速接入 Spring

Resty从最初开发到现在已经经历了近10个月时间,在github的star数即将进入400,在没有任何推广的情况,目前的情况还是比较可观的,主要感谢关注restful发展的人们。 对于不理解restful的人其实就是一个url地址的规范,但我从来不这么认为,我一直觉得rest是一种理念,就行java教你面向对象一样,rest教你面向资源,不再以功能来实现接口,以对资源的操作方式来实现接口,目前就我自己使用的情况来说,大多是比较好的反响: 1.接...

10
61
发表了资讯
2015/04/28 00:00

Resty 发布 1.0-SNAPSHOT 版,极简RESTful框架

Resty是一款主打restful的极速开发框架,使用activerecord实现orm,使用普通方法作为映射的路由,没有最简单只有更简单 源码链接:OSC -> Resty Github -> Resty 在线开发手册 如果你还不是很了解restful,或者认为restful只是一种规范不具有实际意义,推荐一篇osc两年前的文章:RESTful API 设计最佳实践 和 Infoq的一篇极其理论的文章 理解本真的REST架构风格 虽然有点老,介绍的也很简单,大家权当了解,restful的更多好处,...

2
26
发表了资讯
2015/04/01 00:00

因转 Resty,现寻找 JFinal 相关插件的维护人员

因各方面因素影响,现放弃对 JFinal 插件的维护工作,全力维护新的 restful 框架 Resty (http://git.oschina.net/dreampie/resty Or https://github.com/Dreampie/resty),寻找有心维护插件的用户接手维护工作,大部分插件也很简单,只是需要在反馈到 bug 的时候进行修正。https://github.com/search?q=user%3ADreampie+jfinal 相关插件地址,有心者请 fork 源码,并提供联系方式,会在 readme 里标注。...

91
9
发表了资讯
2015/03/26 00:00

Resty更新新特性 Record 完全取代 model, 数据库配置更简单

重大更新: 1.Record的时代已经到来,你完全不用使用任何的model来执行你的数据 //使用use和useDS 方法来创建record的执行器  针对sec_user表 Record recordDAO = Record.use("sec_user"); //new 一个对象来保存数据 recordDAO.reNew().set("属性", 值).save(); Record r1 = recordDAO.reNew().set("属性", 值); Record r2 = recordDAO.reNew().set("属性", 值); //批量保存 recordDAO.save(r1, r2); //更新 ...

4
16
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
发表了博客
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
发表了问答
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
Fastjson 1.2.25-1.2.43版本远程代码执行漏洞
使用外部可控制的输入来选择类或代码(不安全的反射)
Fastjson 是Java语言实现的快速JSON解析和生成器,在1.2.25-1.2.43版本攻击者可通过精心构造的JSON请求,绕过此前修复机制,远程执行任意代码。 漏洞原因: AutoTypeSupport显式设置为True时,Fastjson会通过autoType来实例化json对象,并通过基于黑名单的checkAutotype方法对@type字段进行安全性验证,攻击者可以绕过黑名单逻辑,并调用连接远程rmi主机,通过其中的恶意类执行代码。
MPS-2018-27009
2022-08-08 18:11
Fastjson <= 1.2.60 版本远程代码执行漏洞
使用外部可控制的输入来选择类或代码(不安全的反射)
Fastjson 是Java语言实现的快速JSON解析和生成器,在<=1.2.60的版本中攻击者可通过精心构造的JSON请求,在autoType显式开启的情况下,绕过黑名单机制,远程执行任意代码。 漏洞原因: 攻击者发现了两个类JNDIConfiguration和OracleManagedConnectionFactory不在黑名单中,可调用连接远程rmi主机,通过其中的恶意类执行代码。
MPS-2019-28847
2022-08-08 18:11
Fastjson < 1.2.60 版本拒绝服务漏洞
拒绝服务
Fastjson 是Java语言实现的快速JSON解析和生成器,在<1.2.60的版本中攻击者可通过精心构造的JSON请求,造成服务器内存和CPU等资源耗尽,最终系统宕机。 漏洞原因: fastjson处理\x转义字符不当,json中包含恶意构造的请求时可能引发OOM。
MPS-2019-28848
2022-08-08 18:11
jQuery 跨站脚本漏洞
XSS
在大于或等于 1.0.3 和 3.5.0 之前的 jQuery 版本中,传递的 HTML 包含<option>来自不受信任来源的元素(即使在对其进行清理之后)到 jQuery 的 DOM 操作方法之一(即 .html()、.append() 等)可能会执行不受信任的代码。这个问题在 jQuery 3.5.0 中得到了修复。
CVE-2020-11023 MPS-2020-15461
2022-08-08 18:11
Eclipse Jetty 信息泄露漏洞
信息暴露
Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。 漏洞版本中,攻击者可以使用一些特制的URI来访问WEB-INF目录的内容或绕过一些安全限制,这会导致敏感信息泄露。
CVE-2021-34429 MPS-2021-10800
2022-08-08 18:11
Oracle MySQL Connectors输入验证错误漏洞
授权机制不恰当
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。Oracle MySQL Connectors (组件: Connector/J) 8.0.27及之前版本存在输入验证错误漏洞。攻击者可利用该漏洞通过多种协议进行网络访问,从而破坏Oracle MySQL Connectors,导致Oracle MySQL Connectors被接管。
CVE-2022-21363 MPS-2021-36587
2022-08-08 18:11
fastjson < 1.2.83 任意代码执行漏洞
反序列化
Fastjson 是Java语言实现的快速JSON解析和生成器。 fastjson 使用黑白名单用于防御反序列化漏洞,1.2.80及以下版本在特定条件下可绕过默认autoType关闭限制,攻击远程服务器。 攻击者可利用该漏洞远程执行恶意代码。
CVE-2022-25845 MPS-2022-11320
2022-08-08 18:11
Eclipse Jetty 输入验证不恰当漏洞
输入验证不恰当
Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。 Eclipse Jetty 存在安全漏洞,该漏洞源于无效的 URI 解析可能会产生无效的 HttpURI.authority。攻击者利用此漏洞会导致Proxy scenario失败。
CVE-2022-2047 MPS-2022-18060
2022-08-08 18:11
QOS.ch Logback SocketServer和ServerSocketReceiver组件代码问题漏洞
反序列化
QOS.ch Logback是一套使用Java编写的日志框架。SocketServer和ServerSocketReceiver都是其中的调试模块。 QOS.ch Logback 1.1.10及之前的版本中的SocketServer和ServerSocketReceiver组件存在安全漏洞。攻击者可利用该漏洞获取提升的权限。
CVE-2017-5929 MPS-2017-2574
2022-08-08 18:11
Apache Commons Email 输入验证漏洞
输入验证不恰当
Apache Commons Email是美国阿帕奇(Apache)软件基金会的一个提供电子邮件发送功能的应用程序编程接口。 Apache Commons Email 1.0至1.4版本中存在安全漏洞。攻击者可利用该漏洞添加任意SMTP头。
CVE-2017-9801 MPS-2017-8525
2022-08-08 18:11
Fastjson <=1.2.68 远程代码执行漏洞
使用外部可控制的输入来选择类或代码(不安全的反射)
Fastjson 是Java语言实现的快速JSON解析和生成器,在<=1.2.68的版本中攻击者可通过精心构造的JSON请求,远程执行恶意代码。 漏洞原因: Fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,发现在AutoTypeSupport关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。 本次绕过通过继承自 Throwable 异常类的白名单类gadget实现,漏洞点为ThrowableDeserializer#deserialze。
MPS-2020-39708
2022-08-08 18:11
Vmware Spring Framework存在未明漏洞
输入验证不恰当
Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。Vmware Spring Framework存在安全漏洞,攻击者可利用该漏洞通过日志注入绕过Spring框架的访问限制从而修改数据。
CVE-2021-22060 MPS-2021-18854
2022-08-08 18:11
Vmware Spring Framework 注入漏洞
输入验证不恰当
Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework 存在注入漏洞,该漏洞源于通过日志注入绕过 Spring Framework 的访问限制,以更改数据。
CVE-2021-22096 MPS-2021-18890
2022-08-08 18:11
Google protobuf 安全漏洞
不正确的行为次序
Google protobuf是美国谷歌(Google)公司的一种数据交换格式。 protobuf-java 存在安全漏洞,该漏洞允许一个小的恶意负载可以通过创建大量导致频繁、重复暂停的短期对象来占用解析器几分钟。
CVE-2021-22569 MPS-2021-19066
2022-08-08 18:11
Vmware Spring Framework 安全特征问题漏洞
大小写敏感处理不恰当
Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。 Vmware Spring Framework的disallowedFields 模式区分大小写,这意味着除非字段同时列出字段的第一个字符小写,包括属性路径中所有嵌套字段的第一个字符的大写和小写,否则远程攻击者利用该漏洞可以绕过实施的安全限制。
CVE-2022-22968 MPS-2022-1098
2022-08-08 18:11
Fastjson 1.2.25-1.2.47版本远程代码执行漏洞
使用外部可控制的输入来选择类或代码(不安全的反射)
Fastjson 是Java语言实现的快速JSON解析和生成器,在1.2.25-1.2.47版本中攻击者可通过精心构造的JSON请求,绕过此前修复机制,远程执行任意代码。 漏洞原因: 攻击者可通过白名单类java.lang.Class绕过checkAutotype方法,利用fastjson的cache机制引入恶意类,并调用连接远程rmi主机,通过其中的恶意类执行代码。
MPS-2018-27011
2022-08-08 18:11
jQuery 跨站脚本漏洞
XSS
在大于或等于 1.2 和 3.5.0 之前的 jQuery 版本中,将来自不受信任来源的 HTML(即使在对其进行清理之后)传递给 jQuery 的 DOM 操作方法之一(即 .html()、.append() 等)可能会执行不受信任的代码。这个问题在 jQuery 3.5.0 中得到了修复。
CVE-2020-11022 MPS-2020-15462
2022-08-08 18:11
MySQL JDBC XXE漏洞
XXE
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。 Oracle MySQL 的 MySQL Connectors 产品中存在XXE漏洞,造成漏洞的原因主要是因为getSource方法未对传入的XML格式数据进行检验。导致攻击者可构造恶意的XML数据引入外部实体,造成XXE攻击。攻击者可能利用该漏洞进行任意文件读取。
CVE-2021-2471 MPS-2020-38350
2022-08-08 18:11
Logback-core 存在输入验证不恰当漏洞
输入验证不恰当
ch.qos.logback:logback-core 是一个 logback-core 模块。此软件包的受影响版本容易受到主机名验证不足的影响。 X.509 未正确验证。通过通过看似有效的证书欺骗 TLS/SSL 服务器,具有拦截网络流量(例如,MitM、DNS 缓存中毒)能力的攻击者可以泄露和选择性地操纵传输的数据。
MPS-2022-12411
2022-08-08 18:11
spring-beans 远程代码执行漏洞(Spring4Shell)
表达式注入
spring-beans 负责实现 Spring 框架的 IOC 模块。 CVE-2010-1622 中曾出现由于参数自动绑定机制导致的问题, 通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,导致远程代码执行。 org.springframework:spring-beans的5.3.0 至 5.3.17、5.2.0.RELEASE 至 5.2.19.RELEASE 版本都受到影响。
CVE-2022-22965 MPS-2022-6820
2022-08-08 18:11
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
20 评论
281 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部