600字范文,内容丰富有趣,生活中的好帮手!
600字范文XML网站地图
全站
首页 50字 100字 200字 300字 400字 500字 600字 700字 800字 900字 1000字 1200字 1500字
推荐专题:
600字范文 > java 防止反射_Java设计模式(一):单例模式 防止反射和反序列化漏洞

java 防止反射_Java设计模式(一):单例模式 防止反射和反序列化漏洞

时间:2021-08-12 17:11:40

相关推荐

java 防止反射_Java设计模式(一):单例模式 防止反射和反序列化漏洞

一、懒汉式单例模式,解决反射和反序列化漏洞

package com.iter.devbox.singleton;

import java.io.ObjectStreamException;

import java.io.Serializable;

/**

* 懒汉式(如何防止反射和反序列化漏洞)

* @author Shearer

*

*/

public class SingletonDemo6 implements Serializable{

// 类初始化时,不初始化这个对象(延迟加载,真正用的时候再创建)

private static SingletonDemo6 instance;

private SingletonDemo6() {

// 防止反射获取多个对象的漏洞

if (null != instance) {

throw new RuntimeException();

}

}

// 方法同步,调用效率低

public static synchronized SingletonDemo6 getInstance() {

if (null == instance)

instance = new SingletonDemo6();

return instance;

}

// 防止反序列化获取多个对象的漏洞。

// 无论是实现Serializable接口,或是Externalizable接口,当从I/O流中读取对象时,readResolve()方法都会被调用到。

// 实际上就是用readResolve()中返回的对象直接替换在反序列化过程中创建的对象。

private Object readResolve() throws ObjectStreamException {

return instance;

}

}

package com.iter.devbox.singleton;

import java.io.FileInputStream;

import java.io.FileOutputStream;

import java.io.ObjectInputStream;

import java.io.ObjectOutputStream;

public class Client2 {

public static void main(String[] args) throws Exception {

SingletonDemo6 sc1 = SingletonDemo6.getInstance();

SingletonDemo6 sc2 = SingletonDemo6.getInstance();

System.out.println(sc1); // sc1,sc2是同一个对象

System.out.println(sc2);

// 通过反射的方式直接调用私有构造器(通过在构造器里抛出异常可以解决此漏洞)

/*Classclazz = (Class) Class.forName("com.iter.devbox.singleton.SingletonDemo6");

Constructorc = clazz.getDeclaredConstructor(null);

c.setAccessible(true); // 跳过权限检查

SingletonDemo6 sc3 = c.newInstance();

SingletonDemo6 sc4 = c.newInstance();

System.out.println(sc3); // sc3,sc4不是同一个对象

System.out.println(sc4);*/

// 通过反序列化的方式构造多个对象(类需要实现Serializable接口)

// 1. 把对象sc1写入硬盘文件

FileOutputStream fos = new FileOutputStream("object.out");

ObjectOutputStream oos = new ObjectOutputStream(fos);

oos.writeObject(sc1);

oos.close();

fos.close();

// 2. 把硬盘文件上的对象读出来

ObjectInputStream ois = new ObjectInputStream(new FileInputStream("object.out"));

// 如果对象定义了readResolve()方法,readObject()会调用readResolve()方法。从而解决反序列化的漏洞

SingletonDemo6 sc5 = (SingletonDemo6) ois.readObject();

// 反序列化出来的对象,和原对象,不是同一个对象。如果对象定义了readResolve()方法,可以解决此问题。

System.out.println(sc5);

ois.close();

}

}

二、静态内部类式单例模式(解决反射和反序列化漏洞)

package com.iter.devbox.singleton;

import java.io.ObjectStreamException;

import java.io.Serializable;

/**

* 静态内部类实现方式(也是一种懒加载方式)

* 这种方式:线程安全,调用效率高,并且实现了延迟加载

* 解决反射和反序列化漏洞

* @author Shearer

*

*/

public class SingletonDemo7 implements Serializable{

private static class SingletonClassInstance {

private static final SingletonDemo7 instance = new SingletonDemo7();

}

// 方法没有同步,调用效率高

public static SingletonDemo7 getInstance() {

return SingletonClassInstance.instance;

}

// 防止反射获取多个对象的漏洞

private SingletonDemo7() {

if (null != SingletonClassInstance.instance)

throw new RuntimeException();

}

// 防止反序列化获取多个对象的漏洞

private Object readResolve() throws ObjectStreamException {

return SingletonClassInstance.instance;

}

}

package com.iter.devbox.singleton;

import java.io.FileInputStream;

import java.io.FileOutputStream;

import java.io.ObjectInputStream;

import java.io.ObjectOutputStream;

import java.lang.reflect.Constructor;

public class Client3 {

public static void main(String[] args) throws Exception {

SingletonDemo7 sc1 = SingletonDemo7.getInstance();

SingletonDemo7 sc2 = SingletonDemo7.getInstance();

System.out.println(sc1); // sc1,sc2是同一个对象

System.out.println(sc2);

// 通过反射的方式直接调用私有构造器(通过在构造器里抛出异常可以解决此漏洞)

Classclazz = (Class) Class.forName("com.iter.devbox.singleton.SingletonDemo7");

Constructorc = clazz.getDeclaredConstructor(null);

c.setAccessible(true); // 跳过权限检查

SingletonDemo7 sc3 = c.newInstance();

SingletonDemo7 sc4 = c.newInstance();

System.out.println("通过反射的方式获取的对象sc3:" + sc3); // sc3,sc4不是同一个对象

System.out.println("通过反射的方式获取的对象sc4:" + sc4);

// 通过反序列化的方式构造多个对象(类需要实现Serializable接口)

// 1. 把对象sc1写入硬盘文件

FileOutputStream fos = new FileOutputStream("object.out");

ObjectOutputStream oos = new ObjectOutputStream(fos);

oos.writeObject(sc1);

oos.close();

fos.close();

// 2. 把硬盘文件上的对象读出来

ObjectInputStream ois = new ObjectInputStream(new FileInputStream("object.out"));

// 如果对象定义了readResolve()方法,readObject()会调用readResolve()方法。从而解决反序列化的漏洞

SingletonDemo7 sc5 = (SingletonDemo7) ois.readObject();

// 反序列化出来的对象,和原对象,不是同一个对象。如果对象定义了readResolve()方法,可以解决此问题。

System.out.println("对象定义了readResolve()方法,通过反序列化得到的对象:" + sc5);

ois.close();

}

}

本内容不代表本网观点和政治立场,如有侵犯你的权益请联系我们处理。
网友评论
网友评论仅供其表达个人看法,并不表明网站立场。
相关阅读
Java23种设计模式之单例模式的五种实现方式 反射破解单例模式 不能破解枚举单例模式详解

Java23种设计模式之单例模式的五种实现方式 反射破解单例模式 不能破解枚举单例模式详解

2019-10-24

如何防止单例模式被JAVA反射攻击

如何防止单例模式被JAVA反射攻击

2019-04-08

Java设计模式——为什么要用枚举实现单例模式(避免反射 序列化问题)

Java设计模式——为什么要用枚举实现单例模式(避免反射 序列化问题)

2020-03-21

java反序列化漏洞的成因 JAVA反序列化漏洞解决办法

java反序列化漏洞的成因 JAVA反序列化漏洞解决办法

2022-09-12

扩展阅读

Java设计模式」图文代码案例详解Java五大创建者模式 建造者 原型 (抽象)工厂 单例模式

JAVA列化—FastJson抗争的一生

简析:Java Java定义 的基石

设计模式之原型模式Java代码实现)

谈PSP的JAVA程序课程设计评价模式论文

PHP编码安全指南:保护系统免受列化漏洞的威胁

最近发布
与钢琴相伴的奇幻旅程——我和钢琴的故事

与钢琴相伴的奇幻旅程——我和钢琴的故事

2024-07-22

绝地反击:战胜对手的心路历程

绝地反击:战胜对手的心路历程

2024-07-22

春节趣事初中作文600字作文

春节趣事初中作文600字作文

2024-07-22

重阳节祝福:传递温暖与关怀的短信之美

重阳节祝福:传递温暖与关怀的短信之美

2024-07-22

我成长的四个阶段:初中生活中的变化与成长

我成长的四个阶段:初中生活中的变化与成长

2024-07-21

班风建设的成功经验与实用心得分享

班风建设的成功经验与实用心得分享

2024-07-21

推荐专题
什么的启示作文600字 邻居作文600字初中 与什么为友作文600字 我发现什么作文600字 初入中学作文600字 我最什么的人作文600字 珍贵的友谊作文600字 建军节作文600字 春天的散文600字初中 坐公交车作文600字 小乌龟作文600字 学打篮球作文600字 周末600字作文 得与失作文600字 大理三月街作文600字
猜你喜欢:
五猖会读后感600字 那一抹色彩作文 600字 秋的作文600字作文 瞬间的作文600字 我的小猫作文600字 告别初三作文600字 爱的教育作文600字 种菜作文600字 负责的作文600字作文 真功夫作文600字 远方的梦想作文600字 餐桌上的故事作文600字 600字写事作文 端午的一天作文600字 作文我们一起来600字 惊喜作文600字 父爱作文600字 小白兔作文600字 公益活动作文600字 家书600字 尊重的作文600字 关于风景的作文600字 初中数学论文600字 我的爱好读书作文600字 这样的人让我佩服作文600字 出发作文600字 最难忘的一次聚餐600字 秋游欢乐谷作文600字 我的家风600字作文 月光作文600字
展开

600字范文 免责声明© 2024 All Rights Reserved.

湘ICP备2024057051号网站地图XML

© 2024 All Rights Reserved.

600字范文 免责声明