个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
24
4
我看到你可以操纵 private and internal members using reflection .我还看到它说 'sealed' class is more secure that one that isn't .
修饰符“public、protected、internal、private、abstract、sealed、readonly”是否只是关于设计和 API 使用的君子协定,只要您可以访问反射就可以打破?如果黑客已经在运行调用您的 API 的代码,那么游戏就已经输了,对吧?
下面的类是否比其他类更安全?
//private class
sealed class User
{
private string _secret = "shazam";
public readonly decimal YourSalary;
public string YourOffice{get;};
private DoPrivilegedAction()
{
}
}
最佳答案
首先,回答您的问题:安全系统旨在保护良好用户免受错误代码的侵害;它显然不是为了保护好的代码免受不良用户的侵害。您的访问限制减轻了部分受信任的恶意代码对您用户的攻击。它们不会减轻来自恶意用户的对您的代码的攻击。如果威胁是恶意用户获取您的代码,那么您就有大问题了。安全系统根本无法减轻这种威胁。
其次,解决之前的一些答案:理解反射和安全之间的完整关系需要仔细注意细节并很好地理解 CAS 系统的细节。先前发布的回答指出安全和访问之间没有联系是因为反射是误导和错误的。
是的,反射允许您覆盖“可见性”限制(有时)。这并不意味着访问和安全之间没有联系。联系在于使用反射覆盖访问限制的权利以多种方式与CAS系统紧密联系。
首先,为了任意这样做,CAS 系统必须授予代码私有(private)反射权限。这通常只授予完全受信任的代码,毕竟这些代码已经可以任何了。
其次,在新的 .NET 安全模型中,假设程序集 A 被 CAS 系统授予了程序集 B 授权集的超集。在这种情况下,允许程序集 A 中的代码使用反射来观察 B 的内部结构。
第三,当您将动态生成的代码混入其中时,事情会变得非常复杂。解释“Skip Visibility”与“Restricted Skip Visibility”的工作原理,以及它们如何在运行时吐出代码的情况下改变反射、访问控制和安全系统之间的交互,这将花费我比我更多的时间和空间有可用的。如果您需要详细信息,请参阅 Shawn Farkas 的博客。
关于c# - 访问级别和修饰符(私有(private)、密封等)是否在 C# 中用于安全目的?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/891018/
24
4
0
据我所知,在 C# 中,所有字段默认都是私有(private)的,如果没有另外标记的话。 class Foo { private string bar; } class Foo { strin
这个问题在这里已经有了答案: Why is it allowed to access Java private fields via reflection? (7 个答案) 关闭 6 年前。 使用反
在 C#(和许多其他语言)中,访问相同类型的其他实例的私有(private)字段是完全合法的。例如: public class Foo { private bool aBool; pu
使用私有(private)方法通过将一些决策点重构为单独的方法来降低 CC 会降低实际方法的 CC 并易于阅读,但不会减少在测试中获得完整分支覆盖的工作量。 这合理吗?你有什么现场经验? 最佳答案 好
在下面的例子中,模块outer有一个私有(private)类型Private和一个私有(private)内部模块inner。 inner 能够访问Private(因为子模块可以访问其父级的私有(pri
class Person def one @var = 99 self.two end private def two p @var end end p=P
我在 Azure 中创建了 VNET。我放入了一个子集 Azure Private Link,它在 VNET 之外和另一台虚拟机中调用 Azure Function。 当我尝试通过专用 IP 调用专用
我在 Azure 中创建了 VNET。我放入了一个子集 Azure Private Link,它在 VNET 之外和另一台虚拟机中调用 Azure Function。 当我尝试通过专用 IP 调用专用
我正在尝试获得良好的 Ruby 编码风格。为防止意外调用具有相同名称的局部变量,我总是在适当的地方使用 self.。但是现在我偶然发现了这个: class MyClass "method" a
今天遇到一个案例类构造函数的奇怪问题。我想将构造函数设为私有(private),看来这不是问题。所以我已经在我的一个项目中尝试过它并且它有效。但在另一个项目中,我可以调用私有(private)构造函数
我想坚持使用记录,并且不想返回对象。所以我想知道是否可以将记录的字段设置为私有(private)?或者创建记录的私有(private)成员。其他具体类型(例如可区分联合)怎么样? 或者,这个要求是否违
我正在通过 Flickr API 进行经过身份验证的调用来访问照片。但我只得到我的公开照片,而没有任何私有(private)照片。 下面给出的是我正在使用的代码, Flickr f; Request
这两个类的行为不同;原因似乎与使用 private[this] 声明而不是 private 有关。有人可以解释一下为什么吗? 私有(private): class Person( private
在 private 中的 1000 秒 private 之后,我想到可能不需要它 public class Outer { private static class Inner { // yo
我有以下代码: class C { private enum E { // ... } } private extension C { func f(e: E)
OOP 语言中是否有object-private 的概念??我的意思是比经典的私有(private)访问限制更多? Private (or class-private) restricts the a
swift 3.0 我知道fileprivate访问级别修饰符将函数/属性的使用限制在声明它的源文件和 private - 仅限于声明的词法范围。但似乎这条规则不适用于扩展。例如。此代码有效: cla
即将推出的 Delphi 版本中启用该功能的功能怎么样? 也许它可能是一个编译器开关,促进所有 ** private **s to ** strict private **小号。 ... 或者它可能是
我可以通过将函数放入类的私有(private)扩展中来创建私有(private)函数,而不是通过不断调用 private func functionName(){} 来创建新的私有(private)函
部署专用端点并需要专用 IP 地址作为输出,但似乎无法正确获取值查询。下面的结果是“模板输出'主机名'无效:语言表达式属性|'privateIPAddress'具有无效的数组索引..(代码:Deplo
我是一名优秀的程序员,十分优秀!