fastjson 真就突出一个阴魂不散

undef404

2022-05-25 09:56:02 +08:00

没用过 fastjson ，但是经常看到爆出漏洞的新闻。

dcsuibian

2022-05-25 09:57:33 +08:00

Spring Boot 默认 logback 和 Jackson ，真是 nice 。

rekulas

2022-05-25 09:57:37 +08:00

阿里巴巴：fastjson 现在负面有点多，这样吧咱们出个 fastjson2 重来 😜

rekulas

2022-05-25 09:58:21 +08:00

https://github.com/alibaba/fastjson2

huihuiHK

2022-05-25 10:11:17 +08:00

@rekulas 没想到还真有

putaozhenhaochi

2022-05-25 10:36:55 +08:00

序列化库都这样

fanxasy

2022-05-25 10:45:15 +08:00

我之前也想把项目从 fastjson 迁移到 spring 自带的 jackson 去，然而当我点开一个转换工具类，5 位数行代码里一片 jsonobject 、jsonarray ，我放弃了...

Reficul

2022-05-25 10:46:42 +08:00

> 又不是不能用.jpg

tusj

2022-05-25 10:47:59 +08:00

bugest json

NoKey

2022-05-25 10:50:43 +08:00

问个问题，为啥不用 gson 呢？

fwee

2022-05-25 10:51:29 +08:00

我就问你快不快吧，毕竟不叫 safejson

sheeta

2022-05-25 10:53:03 +08:00

其实我一直想不明白，JSON 这么重要的场景，Java 都没有一个官方的序列化的库吗，反而各种库横行（ Jackson, FastJson, Gson 等等）。其他语言如 PHP, Go, Python 都是官方支持 JSON 解析的吧

calano

2022-05-25 11:20:24 +08:00

所以现在 fastjson2 能用了吗，依赖太多实在换不动

xgfan

2022-05-25 11:30:46 +08:00

开个地图炮，用着 spring 全家桶，还在用 fastjson 的，都是 sb 。

LeegoYih

2022-05-25 12:02:37 +08:00

个人几乎不用阿里开源框架 /工具

Goooooos

2022-05-25 12:24:47 +08:00

@NoKey #10 Gson 性能一般，还是 Jackson 好

chenshun00

2022-05-25 12:25:36 +08:00

@xgfan 不好意思，傻逼就是在下

chendy

2022-05-25 12:27:50 +08:00

其实 jackson 之类的一样有漏洞，一样要升级（ spring 全家桶的话跟着一起升级就行）
只是 fastjson 作为阿里开源，相关消息关注度更高

MakHoCheung

2022-05-25 12:31:33 +08:00

@sheeta 有官方（现在应该不算了）规范，JSON-P 和 JSON-B ，但是实现都在 Jakarta EE 容器里面。

waising

2022-05-25 12:34:53 +08:00

@calano #13 fastjson2 有个 2.0 版还有个 2.0 兼容版