- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
阅读 Instant
类的源代码,我碰到了这个方法
/**
* Defend against malicious streams.
*
* @param s the stream to read
* @throws InvalidObjectException always
*/
private void readObject(ObjectInputStream s) throws InvalidObjectException {
throw new InvalidObjectException("Deserialization via serialization delegate");
}
描述让我很好奇。什么是“恶意流”?这种方法是如何防御的?
最佳答案
Instant
和其他 java.time
类使用包作用域委托(delegate) - java.time.Ser
进行序列化。查看 writeReplace
方法以了解如何创建委托(delegate)。
因此,调用 readObject
方法的唯一方法是有人传入恶意流(为尝试创建无效对象而创建的唯一目的)。该异常确保阻止此类恶意流。
一般来说,任何时候使用序列化委托(delegate)时,您都应该考虑像这样阻止 readObject
。
关于java - Instant.readObject 方法 "Defend[s] against malicious streams"是什么意思?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34222571/
我正在浏览有关广播的文档,并在 best practices 中找到以下内容: When you register a receiver, any app can send potentially m
如果您在 Java 中实现了一个接口(interface),则没有什么可以阻止调用者查看您提供的具体实现,转换为该类并调用不在接口(interface)中的方法。我认为这被称为“恶意向下转换”。 防止
但这是一个谎言 我的安装程序遇到了这个问题:从 Chrome 中的网站下载安装程序 exe 时,会被标记为恶意软件。 为了解决这个问题,到目前为止我们已经尝试过更改域名,但这不是永久的解决方案。 即使
如何在 TinyMCE 等所见即所得编辑器中防止恶意输入? 我有一个系统,用户不是“精通技术”(因此没有 WMD),需要一个富文本编辑器将其内容发布到数据库中。 我担心脚本攻击和恶意输入代码。 最佳答
问题: 在我的网站空间中,有一些 PHP 文件都以此结尾: 在这一行之前,文件中还有 HTML 代码。 当然,浏览器中的输出以此结尾: 但是昨天,最后突然出现了一些恶意代码。我的 index.p
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve thi
阅读 Instant 类的源代码,我碰到了这个方法 /** * Defend against malicious streams. * * @param s the stream to read
当我发布 Spring Boot 应用程序的登录凭据时,出现以下异常。 org.springframework.security.web.firewall.RequestRejectedExcepti
我第一次下载了 Visual Studio Code,但我不断收到以下消息: "Visual Studio Code" can't be opened because Apple cannot che
这样的按钮不会呈现给浏览器,那么恶意用户是否可以通过任何方式触发由不可见按钮定义的操作?例如通过 JavaScript 调用 WebForm_DoPostBackWithOptions? ASP.NE
当更新版本提交到 Google Play 商店时,我们被要求对我们的 react native 应用程序进行更改。突出显示的问题是“Intent 重定向”漏洞。这是遗留代码,但尽管如此,迟到总比没有好
我第一次下载了 Visual Studio Code,但我不断收到以下消息: "Visual Studio Code" can't be opened because Apple cannot che
我的广告服务器在周末被黑了。 根据 this article,这似乎是一个普遍存在的问题. 里面有些东西让我思考... Attackers used one attack to get login r
我们有一个返回的 web 应用程序 HTTP/1.1 400 Bad Request ... Content-Type: text/plain;charset=UTF-8 Content-Length
根据 10.4 Cross-document messaging : domainA.com 可以使用跨文档消息传递的方式向 domainB.com 发送消息,以在源和数据验证时防止跨站点脚本攻击。
我通过本地机器连接到 VPN 并尝试在 chrome 浏览器上执行 selenium 脚本然后我收到以下错误: Only local connections are allowed. Please p
我是一名优秀的程序员,十分优秀!