Java面向对象系列[v1.0.0][输入流过滤器对反序列化对象有效性验证]

原创 已于 2023-11-22 18:33:37 修改 · 836 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#反序列化检查

于 2020-06-07 16:52:19 首次发布
本文介绍Java9中ObjectInputStream新增的setObjectInputFilter()方法,通过自定义ObjectInputFilter实现对反序列化对象的有效性验证。文章详细解释了过滤器的checkInput()方法如何工作,以及如何通过该方法确保反序列化过程的安全性和健壮性。

输入流过滤器对反序列化对象有效性验证

Java9为ObjectInputStream增加了setObjectInputFilter()、getObjectInputFilter()两个方法,其中第一个方法用于为对象输入流设置过滤器,当程序通过ObjectInputStream反序列化对象时,过滤器的checkInput()方法将会被自动激发,用于检查序列化数据是否有效
使用checkInput()方法检查序列化数据时,有3种返回值:

  • Status.REJECTED:拒绝恢复
  • Status.ALLOWED:允许恢复
  • Status.UNDECIDED:未决定状态,程序继续执行检查

ObjectInputStream将会根据ObjectInputFilter的检查结果来决定是否执行反序列化,如果checkInput()方法返回Status.REJECTED,反序列化将会被阻止;如果checkInput()方法返回Status.ALLOWED,程序将可执行反序列化

import java.io.*;

public class FilterTest
{
	public static void main(String[] args)
	{
		try (
			// 创建一个ObjectInputStream输入流
			var ois = new ObjectInputStream(new FileInputStream("object.txt")))
		{
			ois.setObjectInputFilter((info) -> {
				System.out.println("===执行数据过滤===");
				ObjectInputFilter serialFilter = ObjectInputFilter.Config.getSerialFilter();
					if (serialFilter != null) {
						// 首先使用ObjectInputFilter执行默认的检查
						ObjectInputFilter.Status status = serialFilter.checkInput(info);
						// 如果默认检查的结果不是Status.UNDECIDED
						if (status != ObjectInputFilter.Status.UNDECIDED) {
							// 直接返回检查结果
							return status;
						}
					}
					// 如果要恢复的对象不是1个
					if (info.references() != 1)
					{
						// 不允许恢复对象
						return ObjectInputFilter.Status.REJECTED;
					}
					if (info.serialClass() != null &&
						// 如果恢复的不是Person类
						info.serialClass() != Person.class)
					{
						// 不允许恢复对象
						return ObjectInputFilter.Status.REJECTED;
					}
					return ObjectInputFilter.Status.UNDECIDED;
				});
			// 从输入流中读取一个Java对象,并将其强制类型转换为Person类
			var p = (Person) ois.readObject();
			System.out.println("名字为:" + p.getName()
				+ "\n年龄为:" + p.getAge());
		}
		catch (Exception ex)
		{
			ex.printStackTrace();
		}
	}
}

程序为ObjectInputStream设置了ObjectInputFilter过滤器,程序重写了checkInput()方法,显示使用默认的ObjectInputFilter执行检查,如果检查结果不是Status.UNDECIDED, 程序直接返回检查结果,然后程序通过FilterInfo检查序列化数据,如果序列化数据中的对象不唯一(数据被污染),程序拒绝执行反序列化;如果序列化数据中的对象不是Person对象(数据被污染),程序拒绝执行反序列化。
通过这种检查,程序可以保证反序列化出来的是唯一的Person对象,这样就让反序列化更加安全健壮

javajava 反序列化过滤器 ObjectInputFilter
九师兄
04-04 978
文章目录1.概述2.案例2.1 实体类2.2 正常测试2.3 拒绝策略2.4 jdk9实现ObjectInputFilter 1.概述 ObjectInputFilter 的主要功能就是 反序列化过滤器,可以过滤掉不规范的对象,防止恶意反序列化 Functional Interface: 参考:API Reference Document 这是一个功能接口,因此可以用作lambda表达式或方法引用的赋值目标。 @FunctionalInterface public interface ObjectInp
【软件开发规范一】《Java开发规范》
商务合作|问题讨论|交流学习 请联系作者微信,加微信请务必注明来意,博客主页有联系方式
07-18 3351
此文档说明书供开发部全体成员阅读。1.【强制】不允许任何魔法值(即未经预先定义的常量)直接出现在代码中。反例2.【强制】long或者Long初始赋值时,使用大写的L,不能是小写的l,小写容易跟数字1混淆,造成误解。说明写的是数字的21,还是Long型的2?3.【推荐】不要使用一个常量类维护所有常量,按常量功能进行归类,分开维护。说明大而全的常量类,非得使用查找功能才能定位到修改的常量,不利于理解和维护。正例缓存相关常量放在类CacheConsts下;...
Java 9反向移植对象反序列化过滤器
啊啊啊啊2
03-26 393
JEP 290让开发人员可以在反序列化对象时对传入数据进行过滤。该提案最初是针对Java 9提出的,但现在已经反向移植到Java 6、7、8。该特性提供了一种机制,可以在处理对象输入流时过滤传入数据,并且可以帮助预防反序列化漏洞。前不久,这种漏洞曾影响了Apache Commons及其他库。\u0026#xD;\n\u0026#xD;\n反序列化不可信任数据是开放Web应用安全项目(OWASP)和...
JDK源码(十三):ObjectInputStream
u011175079的博客
05-09 755
java.io.ObjectInputStream是实现反序列化的关键类,ObjectInputStream反序列化流,将之前使用ObjectOutputStream序列化的原始数据恢复为对象,以流的方式读取对象。其它的用途包括主机之间使用socket流传递对象、远程系统调用。 ObjectInputStream确保从流创建的所有对象的类型与Java虚拟机中的类匹配。类根据需要使用标准机制加载。只能从流中读取实现java.io.Serializable或java.io.Externalizable接口..
(每日持续更新)jdk api之ObjectInputFilter基础、应用、实战
a89879193的专栏
02-05 907
无特定字段。用于检查输入的对象是否满足过滤条件。
Java序列化反序列化对象流ObjectInputStream、ObjectOutputStream
HumorChen的博客
02-01 632
使用Person类作为Object进行示范 注意:Object要能被写入流需要实现Serializable接口 存储的文件后缀名为.ser 示范Person类 import java.io.Serializable; public class Person implements Serializable{ private static final long serialVersi...
SerializationUtils揭秘:如何通过最佳实践提升Java序列化性能
序列化可以将对象状态转换成字节流,使得这些对象可以存储到磁盘上,或者通过网络传输到其他地方。Java序列化的重要性在于它为分布式应用、网络通信、数据存储等提供了极大的灵活性和便利性。尤其在微服务架构和...
Java基础学习总结(98)——阿里巴巴Java开发手册
科技D人生
02-16 2511
Java开发手册     版本号 制定团队 更新日期 备  注   1.0.0 阿里巴巴集团技术部 2016.12.7 首次向Java业界公开       一、编程规约 (一) 命名规约 1.   【强制】所有编
【定制化工具架构启示】:从蜜蜂El v4.3.9学现代编辑器设计精髓(6大可复用架构模式提炼)
本文以蜜蜂El v4.3.9为研究对象,系统探讨现代编辑器在高度定制化需求下的核心架构设计原理。文章围绕模块化与插件系统、配置驱动机制、语言服务分层架构等关键技术展开,深入分析微内核架构、动态加载、事件总线...
《MCP 实战》 第2章:MCP架构详解
最新发布
AI天才研究院
06-27 569
摘要 本章详细解析了模型上下文协议(MCP)的架构设计与核心组件,包括基础架构、核心能力和生命周期管理。MCP采用客户端-主机-服务器架构,支持大语言模型与外部系统的集成,具备灵活性和可扩展性。协议基于JSON-RPC 2.0通信规范,提供标准化的请求-响应机制和错误处理。MCP支持多种传输层实现(stdio、HTTP/SSE),并包含三大核心能力:资源管理、工具集成和提示模板。通过标准化的生命周期管理(初始化、运行、关闭),MCP为构建AI智能体和复杂工作流提供了坚实基础。
Java IO类库之ObjectInputStream和ObjectOutPutStream
weixin_33966365的博客
07-21 287
2019独角兽企业重金招聘Python工程师标准>>> ...
(每日持续更新)jdk api之ObjectInputFilter.Status基础、应用、实战
a89879193的专栏
02-08 1374
ALLOWED表示允许进行当前的反序列化操作。REJECTED表示拒绝进行当前的反序列化操作。返回带有指定名称的枚举常量。values()返回枚举类型的常量数组。​​try {// 设置自定义的对象输入过滤器​// 模拟反序列化操作​// 在此执行允许的反序列化操作​​@Override// 模拟根据某些条件检查反序列化操作的状态// 允许特定类的反序列化操作} else {// 拒绝其他类的反序列化操作以上示例展示了如何在不同场景下使用枚举。
java IO ObjectInputStream 对象序列化和反序列化 还有序列化接口Serializable的作用
不废话快上车
11-06 1211
java IO ObjectInputStream 对象序列化和反序列化 还有序列化接口Serializable的作用
Java-ObjectInputStream 反序列化 源码解析
u010374412的博客
12-31 429
Java-ObjectInputStream 反序列化 源码解析ObjectInputStreamBlockDataInputStream ObjectInputStream 构造方法: //需要传入一个 输入流,因为反序列化的来源的是一个 输入流 public ObjectInputStream(InputStream in) throws IOException { verif...
InputFilter源码的查看及使用
倒骑驴走着瞧的博客
11-15 742
InputFilter源码 /* * Copyright (C) 2006 The Android Open Source Project * * Licensed under the Apache License, Version 2.0 (the "License"); * you may not use this file except in compliance with the ...
JceKeyStore "ObjectInputFilter REJECTED" 问题分析与解决
helowken2的博客
08-24 2107
1. INFO: ObjectInputFilter REJECTED: class com.sun.crypto.provider.SealedObjectForKeyProtector 2. java.io.ObjectInputStream filterCheck 3. java.io.IOException: Invalid secret key format 4. PowerMock, JCES KeyStore, Java 8 JRE 172
java学习笔记63:对象输入输出流
八十岁老将的博客
01-22 683
1、ObjectInputStream(对象输入流) 1.1 构造方法 protected ObjectInputStream() //为完全重新实现ObjectInputStream的子类提供一种方法,以便不必分配此ObjectInputStream实现刚刚使用的私有数据。 ObjectInputStream​(InputStream in) //创建一个从指定的InputStream读取的ObjectInputStream。 1.2 方法 int available() //返回可以不阻塞地
设计模式学习笔记 --- 8.过滤器模式
杨鑫newlife的专栏
04-22 435
过滤器模式(Filter Pattern)或标准模式(Criterial Pattern)是一种设计模式,这种模式允许人员使用不同的标准来过滤一组对象,通过逻辑运算以解偶的方式把它们连接起来; 这种类型的设计模式属于结构型模式,它结合多个标准来获得单一标准; 实战: 我们创建一个Person对象,Cirteria接口和实现该接口的实体类,来过滤Person对...
JAVA ObjectInputStream报 objectInputStream invalid type code: AC 解决方法的一些注意点
RosaSpSpring的博客
11-24 668
感谢原文作者:攻城狮_无名 原文链接:https://blog.csdn.net/mingyang_2016/article/details/75208117 ⚠️个人对这个文章的补充 这里解决方法的第三个方法,我在测试的时候怎么就是不对,最后终于搞明白了,是因为,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Davieyang.D.Y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值