那些遇到过的问题

Instant.readObject方法"防御恶意流"是什么意思?

Lui*_*ese 8 java stream java-8 java-time

阅读Instant类的源代码,我碰到了这个方法

/**
 * Defend against malicious streams.
 *
 * @param s the stream to read
 * @throws InvalidObjectException always
 */
private void readObject(ObjectInputStream s) throws InvalidObjectException {
    throw new InvalidObjectException("Deserialization via serialization delegate");
}
Run Code Online (Sandbox Code Playgroud)

描述让我很好奇.什么是"恶意流"?这种方法如何防御呢?

Jod*_*hen 6

Instant和其他java.time类,使用包作用域委托序列化 - java.time.Ser.请参阅writeReplace方法以查看如何创建委托.

因此,readObject可以调用该方法的唯一方法是,如果有人传入恶意流(一个用于尝试创建无效对象的唯一目的).该例外可确保阻止此类恶意流.

通常,只要使用序列化委托,就应该考虑readObject像这样阻塞.

归档时间:

查看次数:

174 次

最近记录:

9 年,11 月 前
相关归档
使用Maven在jar中包含依赖项 329
Intellij(Android studio)成员变量前缀 75
为什么我们在Java中为子对象分配父引用? 58
在HashMap中使用<c:forEach> 49
java.util.List是一个接口,JAXB无法处理接口 45
实现Spring Data存储库的自定义方法并通过REST公开它们 44
fopen'd文件的默认输入和输出缓冲? 7
在未装箱的向量中没有与unsafeUpdate_的流融合 5
使用Integer foo列出<String>到List <Integer>(String s) 2
将字符串解析为 LocalDateTime 时出现 DateTimeParseException 1
难疑归档
最终C++书籍指南和列表 4246
让现有的Git分支跟踪一个远程分支? 3437
如何使用Curl从终端/命令行发布JSON数据到测试Spring REST? 2606
如何将命令行参数传递给Node.js程序? 2280
什么是JSONP,为什么创建它? 2040
禁用Chrome缓存以进行网站开发 1563
在UITableView中使用自动布局来获取动态单元格布局和可变行高 1477
如何获取MySQL用户帐户列表 1320
漂亮的git分支图 1290
致命错误:Python.h:没有这样的文件或目录 1042