1.关于fastjson其实是历史问题,在我开发此框架时,fastjson尚未发生安全问题,后来问题频现,但我已是骑虎难下了,因为很多功能已经做好了,再改代价和影响的范围太大. 另外我对fastjson漏洞有研究过,所谓的漏洞频繁主要还是围绕autoType和黑客在周旋,上演魔高一尺道高一丈,在目前ee中使用的版本已经无autoType相关漏洞了,至少目前是安全的.
另外目前最新的版本也才到1.2.83 哪来的2.x版本?

2.至于问题2,ee内部已经有处理了,默认开启trackTotalHists=true.