java - Instant.readObject 方法 "Defend[s] against malicious streams"是什么意思？-6ren

java - Instant.readObject 方法 "Defend[s] against malicious streams"是什么意思？

转载作者：塔克拉玛干更新时间：2023-11-03 03:43:10

24

4

阅读 Instant 类的源代码，我碰到了这个方法

/**
 * Defend against malicious streams.
 *
 * @param s the stream to read
 * @throws InvalidObjectException always
 */
private void readObject(ObjectInputStream s) throws InvalidObjectException {
    throw new InvalidObjectException("Deserialization via serialization delegate");
}

描述让我很好奇。什么是“恶意流”？这种方法是如何防御的？

最佳答案

Instant 和其他 java.time 类使用包作用域委托(delegate) - java.time.Ser 进行序列化。查看 writeReplace 方法以了解如何创建委托(delegate)。

因此，调用 readObject 方法的唯一方法是有人传入恶意流(为尝试创建无效对象而创建的唯一目的)。该异常确保阻止此类恶意流。

一般来说，任何时候使用序列化委托(delegate)时，您都应该考虑像这样阻止 readObject。

关于java - Instant.readObject 方法 "Defend[s] against malicious streams"是什么意思？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/34222571/

24

4

0

文章推荐： java - spring 将两个验证注解合二为一

文章推荐： java - Nashorn ScriptObjectMirror JS -> Java 类型转换

文章推荐： java - 什么时候加载 Java 类？

android - 广播怎么可能是 "malicious"？
我正在浏览有关广播的文档，并在 best practices 中找到以下内容: When you register a receiver, any app can send potentially m
java - 自动生成包装器以防止 "malicious downcast"?
如果您在 Java 中实现了一个接口(interface)，则没有什么可以阻止调用者查看您提供的具体实现，转换为该类并调用不在接口(interface)中的方法。我认为这被称为“恶意向下转换”。防止
google-chrome - 谷歌浏览器 : File is malicious
但这是一个谎言我的安装程序遇到了这个问题:从 Chrome 中的网站下载安装程序 exe 时，会被标记为恶意软件。为了解决这个问题，到目前为止我们已经尝试过更改域名，但这不是永久的解决方案。即使
php - TinyMCE 安全问题 : How do you prevent malicious input?
如何在 TinyMCE 等所见即所得编辑器中防止恶意输入？我有一个系统，用户不是“精通技术”(因此没有 WMD)，需要一个富文本编辑器将其内容发布到数据库中。我担心脚本攻击和恶意输入代码。最佳答
PHP 脚本 : malicious JavaScript code at the end
问题: 在我的网站空间中，有一些 PHP 文件都以此结尾: 在这一行之前，文件中还有 HTML 代码。当然，浏览器中的输出以此结尾: 但是昨天，最后突然出现了一些恶意代码。我的 index.p
Qt 的安装程序文件在 Chrome 中给出 "... is malicious, and Chrome has blocked it"消息
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。想改善这个问题吗？更新问题，使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve thi
java - Instant.readObject 方法 "Defend[s] against malicious streams"是什么意思？
阅读 Instant 类的源代码，我碰到了这个方法 /** * Defend against malicious streams. * * @param s the stream to read
Spring Boot : RequestRejectedException: The request was rejected because the URL contained a potentially malicious String ";"
当我发布 Spring Boot 应用程序的登录凭据时，出现以下异常。 org.springframework.security.web.firewall.RequestRejectedExcepti
macos - 无法打开 Visual Studio Code，因为 "Apple cannot check it for malicious software"
我第一次下载了 Visual Studio Code，但我不断收到以下消息: "Visual Studio Code" can't be opened because Apple cannot che
asp.net - 可以 asp :Button with Visible=False be submitted by a malicious user?
这样的按钮不会呈现给浏览器，那么恶意用户是否可以通过任何方式触发由不可见按钮定义的操作？例如通过 JavaScript 调用 WebForm_DoPostBackWithOptions？ ASP.NE
android - React Native( Intent 重定向修复): What's the equivalent of getCallingActivity() to check for malicious redirection?
当更新版本提交到 Google Play 商店时，我们被要求对我们的 react native 应用程序进行更改。突出显示的问题是“Intent 重定向”漏洞。这是遗留代码，但尽管如此，迟到总比没有好
macos - 无法打开 Visual Studio Code，因为 "Apple cannot check it for malicious software"
我第一次下载了 Visual Studio Code，但我不断收到以下消息: "Visual Studio Code" can't be opened because Apple cannot che
php - 网站如何被 "maliciously encoded image that contained a PHP script hidden inside it"攻击？
我的广告服务器在周末被黑了。根据 this article，这似乎是一个普遍存在的问题. 里面有些东西让我思考... Attackers used one attack to get login r
javascript - 依赖 Content-Type : text/plain to mitigate malicious javascript execution in response? 是否安全
我们有一个返回的 web 应用程序 HTTP/1.1 400 Bad Request ... Content-Type: text/plain;charset=UTF-8 Content-Length
javascript - HTML5 跨文档消息传递 : can Malicious code sniff messages between domainA. com 和 domainB.com？
根据 10.4 Cross-document messaging : domainA.com 可以使用跨文档消息传递的方式向 domainB.com 发送消息，以在源和数据验证时防止跨站点脚本攻击。
java - Selenium : Please protect ports used by ChromeDriver and related test frameworks to prevent access by malicious code
我通过本地机器连接到 VPN 并尝试在 chrome 浏览器上执行 selenium 脚本然后我收到以下错误: Only local connections are allowed. Please p

首页

博学

6Ren·AI

商城

java - Instant.readObject 方法 "Defend[s] against malicious streams"是什么意思？