注意: 虽然本文基于Java的序列化/反序列化机制,但现代Java开发中已存在更安全、高效的替代方案。 本节旨在探讨传统方法中的安全风险。
未经防护的readObject方法的风险
允许攻击者通过可序列化的类进行恶意操作,从而破坏对象的不变性。readObject 方法如同一个隐形的公共构造器,需要与常规构造器一样进行安全防护。 未经保护的 readObject 方法允许攻击者操纵字节流,从而违反类的约束条件。
例如:攻击者可能篡改表示日期的最终字段。
攻击途径:
这些攻击都会破坏类的完整性,允许在对象创建后修改其状态。
安全的读取方法:防御性复制
为了防止上述攻击,需要采取以下措施:
readObject 方法中,不要直接使用从字节流中反序列化的可变对象(如 Date,ArrayList 等)。 应创建这些对象的全新副本。 避免使用 clone() 方法,而应手动创建新的实例,并复制必要的值。super 方法: 在 readObject 方法中,不要调用可能被子类覆盖的方法。 这可以防止在类完全初始化之前执行恶意代码。最佳实践:序列化代理模式
尽可能使用序列化代理模式(类似于项目90中描述的方法)。 这种模式可以简化代码,并最大程度地降低反序列化攻击的风险。
总结
将 readObject 方法视为公共构造器:必须验证和保护数据。 记住,字节流可能已被篡改。 始终创建可变对象的防御性副本,以确保类的完整性。
