JFinal Weixin 2.1 发布,微信极速 SDK – 开源中国社区

问答

[
登录 |
注册 ]

JFinal Weixin 2.1 发布,微信极速 SDK

JFinal
2018年07月10日

JFinal Weixin 2.1 发布,微信极速 SDK

JFinal
JFinal
发布于2018年07月10日
收藏 4

JFinal Weixin 发布四年多以来,以其简单性、稳定性,获得了大量用户的喜爱,这四年多以来 JFinal Weixin 紧跟微信官方动态,不断增加、完善功能,例如跟随本次微信官方发布的 XXE 漏洞,第一时间进行了版本更新。

在微信官方通知 XXE 的第一时间,JFinal Weixin 向 maven 中心库发布了 jfinal-weixin 2.0,
但是在 2.0 版本即将发布新闻之时,微信官方再次通知 XXE 解决方案,得知上一次解决方案是有问题的。

本次 jfinal weixin 2.1 在前几天 2.0 版本的基础上,再次细致解决 XXE 问题的同时,还做了一些工匠式的打磨,jfinal weixin changelog 2.1 如下:

  1. 改进 XmlHelper,防止 JDK 的 XML API 被实施 XXE 攻击

  2. 添加一次性订阅消息接口 SubscribeMsgApi

  3. InFollowEvent 添加 EventKey 属性

  4. 修复完善小程序二维码创建接口

  5. 修复微信周边摇一摇上传图片素材接口

  6. 去掉Base64Utils建议使用JFinal3.4中的Base64Kit

  7. 改进JsonUtils,优先使用用户设定的JsonUtils.setJsonFactory,用户没有手动设定,使用JFinal中的配置

  8. 图文消息添加评论字段

  9. 添加 AccessToken.setAccessToken(..) 用于手动设置 AccessToken
  10. MediaApi 添加 batchGetMaterial()、batchGetMaterialNews()

  11. ReturnCode 添加与发票相关的返回码

  12. ApiResult 添加 getAttrs()

  13. 修复 WxaTemplateApi 中的一处错误调用
  14. 依赖jfinal的scope改为provided

  15. 修改微信官方提供的 WXBizMsgCrypt.java 中的一处字符串比较的问题


本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区
[http://www.oschina.net]
本文标题:JFinal Weixin 2.1 发布,微信极速 SDK

评论
(18)

精彩评论





2

引用来自“慢慢成长”的评论

XXE的漏洞不修复会有什么后果?微信支付将不能使用么?

正常功能没有影响,只是为了防止恶意攻击,具体信息可以看一下微信官方的通知:

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

简单说就是攻击者制造特定的 XML 内容,而 JDK 对 XML 解析时会执行其中的恶意代码,跟 sql 注入类似

当然,这个问题并不是很严峻,因为攻击者首先要知道你的微信程序接收 XML 的入口




2

赞赞赞~ 使用靠谱的 sdk 就是省心,只管用就好了。jfinal-wexin sdk 值得信赖。 :heartbeat:




2

:dizzy::boom::sparkles::sparkling_heart:




2

极速起飞




1

引用来自“succy”的评论

支持小程序不

支持小程序,这里有相关文档:
https://gitee.com/jfinal/jfinal-weixin/wikis/Home

注意看小程序 API 那部分,文档很全面

最新评论





0

一直在使用…




0

引用来自“TerryZ”的评论

极速起飞

🙂 好同志呀。




0

:clap::clap::clap::thumbsup:




0

太速度了




2

引用来自“慢慢成长”的评论

XXE的漏洞不修复会有什么后果?微信支付将不能使用么?

正常功能没有影响,只是为了防止恶意攻击,具体信息可以看一下微信官方的通知:

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

简单说就是攻击者制造特定的 XML 内容,而 JDK 对 XML 解析时会执行其中的恶意代码,跟 sql 注入类似

当然,这个问题并不是很严峻,因为攻击者首先要知道你的微信程序接收 XML 的入口




0

赞赞赞!2333333




0

:thumbsup:




0

:sparkling_heart::sparkles::star::star2::collision::collision::boom:




2

赞赞赞~ 使用靠谱的 sdk 就是省心,只管用就好了。jfinal-wexin sdk 值得信赖。 :heartbeat:




1

引用来自“succy”的评论

支持小程序不

支持小程序,这里有相关文档:
https://gitee.com/jfinal/jfinal-weixin/wikis/Home

注意看小程序 API 那部分,文档很全面




0

赞一个:smile:




0

引用来自“succy”的评论

支持小程序不

WxaConfigKit就是了, 早就支持了




0

XXE的漏洞不修复会有什么后果?微信支付将不能使用么?




2

:dizzy::boom::sparkles::sparkling_heart:




2

极速起飞




0

真好东西




0

支持小程序不




0

好框架,赞一个



插入:



  • People
  • Nature
  • Objects
  • Places
  • Symbols







精彩评论





2

引用来自“慢慢成长”的评论

XXE的漏洞不修复会有什么后果?微信支付将不能使用么?

正常功能没有影响,只是为了防止恶意攻击,具体信息可以看一下微信官方的通知:

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

简单说就是攻击者制造特定的 XML 内容,而 JDK 对 XML 解析时会执行其中的恶意代码,跟 sql 注入类似

当然,这个问题并不是很严峻,因为攻击者首先要知道你的微信程序接收 XML 的入口




2




2




2

赞赞赞~ 使用靠谱的 sdk 就是省心,只管用就好了。jfinal-wexin sdk 值得信赖。 :heartbeat:



2




2




2

:dizzy::boom::sparkles::sparkling_heart:



2




2




2

极速起飞



2




2




1

引用来自“succy”的评论

支持小程序不

支持小程序,这里有相关文档:
https://gitee.com/jfinal/jfinal-weixin/wikis/Home

注意看小程序 API 那部分,文档很全面




1




1

最新评论





0

一直在使用…



0




0




0

引用来自“TerryZ”的评论

极速起飞

🙂 好同志呀。




0




0




0

:clap::clap::clap::thumbsup:



0




0




0

太速度了



0




0




2

引用来自“慢慢成长”的评论

XXE的漏洞不修复会有什么后果?微信支付将不能使用么?

正常功能没有影响,只是为了防止恶意攻击,具体信息可以看一下微信官方的通知:

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

简单说就是攻击者制造特定的 XML 内容,而 JDK 对 XML 解析时会执行其中的恶意代码,跟 sql 注入类似

当然,这个问题并不是很严峻,因为攻击者首先要知道你的微信程序接收 XML 的入口




2




2




0

赞赞赞!2333333



0




0




0

:thumbsup:



0




0




0

:sparkling_heart::sparkles::star::star2::collision::collision::boom:



0




0




2

赞赞赞~ 使用靠谱的 sdk 就是省心,只管用就好了。jfinal-wexin sdk 值得信赖。 :heartbeat:



2




2




1

引用来自“succy”的评论

支持小程序不

支持小程序,这里有相关文档:
https://gitee.com/jfinal/jfinal-weixin/wikis/Home

注意看小程序 API 那部分,文档很全面




1




1




0

赞一个:smile:



0




0




0

引用来自“succy”的评论

支持小程序不

WxaConfigKit就是了, 早就支持了




0




0




0

XXE的漏洞不修复会有什么后果?微信支付将不能使用么?



0




0




2

:dizzy::boom::sparkles::sparkling_heart:



2




2




2

极速起飞



2




2




0

真好东西



0




0




0

支持小程序不



0




0




0

好框架,赞一个



0




0

关注微信公众号


下载手机客户端


开源中国社区是工信部开源软件推进联盟指定的官方社区
粤ICP备12009483号-3 深圳市奥思网络科技有限公司版权所有