gpt4 book ai didi

java - lambda 表达式的序列化有哪些安全风险?

转载 作者:塔克拉玛干 更新时间:2023-11-03 03:46:20 24 4
gpt4 key购买 nike

刚刚回顾了 Streams 和 Java 8 Lambda 功能,以及对不言自明的 Oracle 文档的最后评论 Lambda Expressions状态:

You can serialize a lambda expression if its target type and its captured arguments are serializable. However, like inner classes, the serialization of lambda expressions is strongly discouraged.

检查这个我发现了 SO 问题

How to serialize a lambda?

OP 正在处理来自客户端代码的序列化 lambda 表达式。

如果我有一个网络服务并且其中一个参数是一个 lambda 表达式,它似乎可能包含恶意代码,可以执行文件系统访问或导致堆栈溢出等操作 - 所以相信它是非常愚蠢的.

我是否过分夸大了安全风险,或者序列化表达式可以包含的内容是否存在限制?

最佳答案

这么说吧:无论如何,Java 对象序列化(在某种程度上)是一场安全噩梦(参见 here 示例)。

换句话说:序列化本身就是一个首先需要深思熟虑的话题。因此,谈论序列化 lambda 或任何其他类型的序列化对象并不重要。

因此,例如,您想确保您理解并支持相应的规则,例如 CERT .

关于java - lambda 表达式的序列化有哪些安全风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39078841/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com