JFinal Weixin 2.1 发布,微信极速 SDK - 开源中国社区
Float_left Icon_close
JFinal Weixin 2.1 发布,微信极速 SDK
JFinal 2018年07月10日

JFinal Weixin 2.1 发布,微信极速 SDK

JFinal JFinal 发布于2018年07月10日 收藏 19

JFinal Weixin 发布四年多以来,以其简单性、稳定性,获得了大量用户的喜爱,这四年多以来 JFinal Weixin 紧跟微信官方动态,不断增加、完善功能,例如跟随本次微信官方发布的 XXE 漏洞,第一时间进行了版本更新。

在微信官方通知 XXE 的第一时间,JFinal Weixin 向 maven 中心库发布了 jfinal-weixin 2.0,
但是在 2.0 版本即将发布新闻之时,微信官方再次通知 XXE 解决方案,得知上一次解决方案是有问题的。

本次 jfinal weixin 2.1 在前几天 2.0 版本的基础上,再次细致解决 XXE 问题的同时,还做了一些工匠式的打磨,jfinal weixin changelog 2.1 如下:

  1. 改进 XmlHelper,防止 JDK 的 XML API 被实施 XXE 攻击

  2. 添加一次性订阅消息接口 SubscribeMsgApi

  3. InFollowEvent 添加 EventKey 属性

  4. 修复完善小程序二维码创建接口

  5. 修复微信周边摇一摇上传图片素材接口

  6. 去掉Base64Utils建议使用JFinal3.4中的Base64Kit

  7. 改进JsonUtils,优先使用用户设定的JsonUtils.setJsonFactory,用户没有手动设定,使用JFinal中的配置

  8. 图文消息添加评论字段
  9. 添加 AccessToken.setAccessToken(..) 用于手动设置 AccessToken
  10. MediaApi 添加 batchGetMaterial()、batchGetMaterialNews()

  11. ReturnCode 添加与发票相关的返回码

  12. ApiResult 添加 getAttrs()
  13. 修复 WxaTemplateApi 中的一处错误调用
  14. 依赖jfinal的scope改为provided

  15. 修改微信官方提供的 WXBizMsgCrypt.java 中的一处字符串比较的问题

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:JFinal Weixin 2.1 发布,微信极速 SDK
分享
评论(22)
精彩评论
2

引用来自“慢慢成长”的评论

XXE的漏洞不修复会有什么后果?微信支付将不能使用么?
正常功能没有影响,只是为了防止恶意攻击,具体信息可以看一下微信官方的通知:
https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

简单说就是攻击者制造特定的 XML 内容,而 JDK 对 XML 解析时会执行其中的恶意代码,跟 sql 注入类似

当然,这个问题并不是很严峻,因为攻击者首先要知道你的微信程序接收 XML 的入口
2
赞赞赞~ 使用靠谱的 sdk 就是省心,只管用就好了。jfinal-wexin sdk 值得信赖。 :heartbeat:
2
:dizzy::boom::sparkles::sparkling_heart:
2
极速起飞
1
weixin_guide 已更新到最新2.1版本,一次性订阅消息具体使用可以参考https://blog.csdn.net/zyw_java/article/details/76222006
最新评论
0
:thumbsup:
0
感谢波总
0
虽然用的还是1.9,但是还是支持一下:thumbsup:
1
weixin_guide 已更新到最新2.1版本,一次性订阅消息具体使用可以参考https://blog.csdn.net/zyw_java/article/details/76222006
1
一直在使用...
0

引用来自“TerryZ”的评论

极速起飞
:smile: 好同志呀。
0
:clap::clap::clap::thumbsup:
0
太速度了
2

引用来自“慢慢成长”的评论

XXE的漏洞不修复会有什么后果?微信支付将不能使用么?
正常功能没有影响,只是为了防止恶意攻击,具体信息可以看一下微信官方的通知:
https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

简单说就是攻击者制造特定的 XML 内容,而 JDK 对 XML 解析时会执行其中的恶意代码,跟 sql 注入类似

当然,这个问题并不是很严峻,因为攻击者首先要知道你的微信程序接收 XML 的入口
0
赞赞赞!2333333
0
:thumbsup:
0
:sparkling_heart::sparkles::star::star2::collision::collision::boom:
2
赞赞赞~ 使用靠谱的 sdk 就是省心,只管用就好了。jfinal-wexin sdk 值得信赖。 :heartbeat:
1

引用来自“succy”的评论

支持小程序不
支持小程序,这里有相关文档:https://gitee.com/jfinal/jfinal-weixin/wikis/Home

注意看小程序 API 那部分,文档很全面
0
赞一个:smile:
0

引用来自“succy”的评论

支持小程序不
WxaConfigKit就是了, 早就支持了
0
XXE的漏洞不修复会有什么后果?微信支付将不能使用么?
2
:dizzy::boom::sparkles::sparkling_heart:
2
极速起飞
0
真好东西
顶部