反序列化不受信任的数据是否安全,前提是我的代码不对反序列化对象的状态或类进行假设,或者仅仅反序列化的行为是否会引起不希望的操作?
(威胁模型:攻击者可以自由修改序列化数据,但这就是他所能做的)
java security serialization
java ×1
security ×1
serialization ×1