那些遇到过的问题

为什么要避免 Method.invoke?

Phi*_*ppe 9 java java-security

准则 9-11 / ACCESS-11 中

注意java.lang.reflect.Method.invoke在检查直接调用者时被忽略

Java SE安全编码指南中,指出Method.invoke在确定直接调用者时忽略实现,否则将在所有权限下执行操作。到目前为止,这对我来说很清楚,但后来声明:

因此,避免 Method.invoke

我知道Method.invoke在确定直接调用者时忽略实现是好的,但为什么应该避免它?避免它的原因是什么?

Sha*_*dra 2

使用反射来调用方法(例如在 Java 或 C# 中)时存在固有的风险。引用自 OWASP 漏洞描述页面Unsafe use of Reflection

如果攻击者可以提供应用程序使用的值来确定要实例化哪个类或要调用哪个方法,那么攻击者就有可能通过应用程序创建应用程序开发人员不希望的控制流路径。

归档时间:

查看次数:

124 次

最近记录:

4 年,3 月 前
相关归档
StringBuilder和StringBuffer之间的区别 1510
Java Swing revalidate()vs repaint() 206
在Java 8中,为什么ArrayList的默认容量现在为零? 88
你如何使用Intent.FLAG_ACTIVITY_CLEAR_TOP清除活动堆栈? 76
如何让Java方法返回任何类型的通用列表? 61
webdriver.get()和webdriver.navigate()之间的区别 59
java中的程序化死锁检测 57
Android获取视图的类型 55
带有-gc true的Java 12与Java 8上流API的神秘微基准测试结果 55
如何防止Map中的空值和bean内的空字段通过Jackson序列化 50
难疑归档
为什么"使用命名空间std"被认为是不好的做法? 2486
使用jQuery从下拉列表(选择框)中获取所选文本 2240
什么是C ??!??!操作员呢? 1911
我如何递归grep? 1619
如何恢复Git中丢失的存储? 1617
INNER JOIN,LEFT JOIN,RIGHT JOIN和FULL JOIN之间有什么区别? 1602
在YAML中,如何在多行中断字符串? 1388
"javascript:void(0)"是什么意思? 1292
从JS数组中删除重复值 1225
如何测量函数执行所花费的时间 1057