可靠地识别序列化 Java 对象的类

【问题标题】:Reliably identify the class of a serialized Java object可靠地识别序列化 Java 对象的类
【发布时间】:2012-10-27 01:00:08
【问题描述】:

我需要在不反序列化的情况下可靠地识别 Java 中序列化对象的类。

到目前为止,我发现原始数据流将包含类名。然而,有人可以创建一个具有任意名称的自定义类来欺骗识别。

现在我正在考虑实现一个系统,其中对象的存储数据也会根据模板进行检查,但这似乎很麻烦。

是否有已经这样做的包和/或是否有更简单的方法来可靠地识别序列化 Java 对象的类?

【问题讨论】:

  • 反序列化有什么问题?
  • 啊,我忘了提这个。在我正在研究的安全上下文中,如果对象不合法,则永远不应在内存中创建它。因此,我尝试在不反序列化的情况下验证序列化对象的类。

标签: java object serialization deserialization identification


【解决方案1】:

您看过 JavaAssist (http://www.csg.ci.i.u-tokyo.ac.jp/~chiba/javassist/) 吗?它似乎能够加载类文件元数据并使其可用,而无需创建类。

【讨论】:

  • 他们的序列化 API 看起来很完美。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2019-05-06
  • 2019-02-01
  • 2011-02-12
  • 2011-05-21
  • 1970-01-01
  • 1970-01-01
  • 2014-09-24
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode