Java设计模式(一):单例模式,防止反射和反序列化漏洞

Java单例模式:反射与反序列化漏洞防护
最新推荐文章于 2025-09-15 16:59:29 发布
原创 最新推荐文章于 2025-09-15 16:59:29 发布 · 8.6k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了Java中的懒汉式单例模式,并详细讲解如何通过优化来防止反射攻击和反序列化漏洞,确保单例的安全性。

一、懒汉式单例模式,解决反射和反序列化漏洞

package com.iter.devbox.singleton;

import java.io.ObjectStreamException;
import java.io.Serializable;

/**
 * 懒汉式(如何防止反射和反序列化漏洞)
 * @author Shearer
 *
 */
public class SingletonDemo6 implements Serializable{
	
	// 类初始化时,不初始化这个对象(延迟加载,真正用的时候再创建)
	private static SingletonDemo6 instance;
	
	private SingletonDemo6() {
		// 防止反射获取多个对象的漏洞
		if (null != instance) {
			throw new RuntimeException();
		}
	}
	
	// 方法同步,调用效率低
	public static synchronized SingletonDemo6 getInstance() {
		if (null == instance)
			instance = new SingletonDemo6();
		return instance;
	}

	// 防止反序列化获取多个对象的漏洞。
	// 无论是实现Serializable接口,或是Externalizable接口,当从I/O流中读取对象时,readResolve()方法都会被调用到。
	// 实际上就是用readResolve()中返回的对象直接替换在反序列化过程中创建的对象。
	private Object readResolve() throws ObjectStreamException {  
		return instance;
	}
}


package com.iter.devbox.singleton;

import java.io.FileI
最低0.47元/天 解锁文章
编程反射技术:从入门到精通
本博客聚焦游戏开发技巧、创业实战心得及大学热门课程干货。这里既有技术深度,也有思维广度,无论你是开发者、创业者还是高校学子,都能在这里找到适合自己的成长之路!
01-01 150
本文是篇通俗易懂的反射技术教程,从基础概念到实际应用全面解析。反射是编程语言提供的动态操作程序结构的能力,让代码在运行时可以获取修改类、对象、方法等元数据。文章通过生活化比喻解释反射原理,对比不同语言的实现机制,并列举动态创建对象、自动装配框架、序列化等典型应用场景。最后提供Java、Python、C#等主流语言的反射代码示例,包括获取类信息、动态实例化、调用方法修改属性等操作。全文采用大白话风格,适合初学者开发者系统学习反射技术的核心要点与实践方法。
java设计模式单例模式详解
weixin_46676497的博客
01-23 1125
java设计模式单例模式详解
单例模式及其序列化/反序列化
xuerhu85的博客
02-26 262
为了使个单例类变成可串行化的,仅仅在声明中添加“implements Serializable”是不够的。因为个串行化的对象在每次返串行化的时候,都会创建个新的对象,而不仅仅是个对原有对象的引用。为了防止这种情况,可以在单例类中加入readResolve 方法。 下面我们先简要地回顾下对象的序列化. 般来说, 个类实现了 Serializable接口,...
反序列化漏洞
weixin_46476861的博客
03-23 8901
什么是反序列化 就是把个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了个class,这个class里面存有些变量。当这个class被实例化了之后,在使用过程中里面的些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class直不销毁,等着下次要用它的时候再次被调用的话,浪费系统资源。当我们写个小型的项目可能没有太大的影响,但是随着项目的壮大,些小问题被放大了之后就会产生很多麻烦。这个时候PHP就我们说,你可以把这个对象序列化了,存成个字符串,当你要用的时
Java 设计模式——单例模式6种写法:从原理到 SpringBoot 落地
最新发布
qq_46601365的博客
09-15 1572
本文全面解析Java单例模式的6种实现方式,包括静态内部类、双重校验锁、枚举等。重点分析了各方案的优缺点、适用场景及实现原理,特别强调线程安全、懒加载防破坏(反射/反序列化)等关键问题。其中静态内部类作为日常开发首选,双重校验锁适合高并发场景,枚举单例则是最安全的防破坏方案。文章还通过代码示例直观展示实现细节,为开发者提供从理论到实践的系统指导。
单例模式之序列化与反序列化实现
anLA_的专栏
04-16 2312
静态内部类可以达到线程安全问题,但是如果遇到序列化对象时,使用默认的方式运行得到的结果 坑你还是多例的。 package test; import java.io.ObjectStreamException; import java.io.Serializable; public class MyObject implements Serializable { private stat
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
开源软件没你想象中那么安全,Java 开发者尤其要警惕
weixin_34061555的博客
02-28 395
Snyk 今天发布了2019年开源安全现状调查报告,这是家针对开源项目提供安全服务的知名公司。 前言 为了更好地了解开源领域的安全现状,以及我们该如何让开源世界的安...
单例模式陷阱警示录:驱动全局资源控制的4个安全隐患与规避策略
![单例模式陷阱警示录:驱动全局资源控制的4个安全隐患与规避策略]...单例模式作为最基础的创建型设计模式,其核心目标是确保个类在整个应用程序生命周期中仅存在唯实例,并提供全局访问点。这种设
Java中高级面试题总览()
数据与算法架构提升之路专栏
03-29 2万+
高频面试题深入剖析
单例模式反序列化总结
weixin_34255793的博客
07-01 188
2019独角兽企业重金招聘Python工程师标准>>> ...
单例模式漏洞,通过反射序列化、反序列化来破解单例,以及如何避免这些漏洞
jklbnm12的博客
03-18 229
单例模式(以饿汉式为例) **   首先的话,看下面的代码:** **    ** (二)通过反射来破解单例模式 **    在看下面的代码** **    ** 看运行的结果: 说明:打印出来的结果不样,说明这2个对象就是不同的对象,这样就破解了单例模式 (三)通过序列化反序列化破解单例 **   ** 看运行效果: **    ** 说明:打印出来的结果不样,说明这2个对象就是不同的对象,这样就破解了单例模式 (四)如何避免这些漏洞 **  (1)避免反射** **   说明:反射是通过它
Java设计模式单例模式以及如何防止通过反射破坏单例模式
weixin_51311741的博客
12-22 2122
​ 什么是单例模式?保障个类只能有个对象(实例)的代码开发模式就叫单例模式​ 什么时候使用?工具类!(种做法,所有的方法都是static,还有单例模式让工具类只有个实例) 某类工厂(SqlSessionFactory)
如何防止单例模式JAVA 反射攻击
tyyking的博客
11-22 637
如何防止单例模式JAVA 反射攻击 package sf.com.singleton; public class Demo { private static boolean flag = true; private Demo() { System.out.println("flag==" + flag); } ...
Java单例模式(解决反射攻击,反序列化攻击)
weixin_45679480的博客
11-27 810
单例模式 什么是单例模式 单例模式就是确保类的实例对象只能有个,类本身要实例化好这个对象提供给其他所有的类访问。单例模式就是为了避免状态不致。 单例模式特定 单例类只能有个实例。 单例类必须自己创建自己的唯实例。 单例类必须给所有其他对象提供这实例。 单例模式四大原则 1、构造私有 2、以静态方法或者枚举返回实例 3、确保实例只有个,尤其是多线程环境 4、确保反序列换时不会重新构建对象 实现单例模式的方式 饿汉式(立即加载) 就是在类加载是就创建个静态对象私有的对象实例,来提供给外部使用,除非
几招防范Java漏洞
weixin_33756418的博客
11-14 188
你的企业在使用Java平台吗?你可知道,Java平台很有可能会为病毒、木马大开方便之门。就如何防范最新的Java平台漏洞话题,本文为读者提供了些参考方案。 作为种得到广泛应用的编程语言,针对Java平台的攻击呈现出逐渐抬头的迹象。很多安全研究人员就此提出了自己的方法,以便用户保护自己的计算机,以防范针对Java平台的攻击。安全研究人员希望在甲骨文没有提供官方补丁的前提下,用户们能够通过这...
Java - 单例模式的几种实现, 以及反射反序列化漏洞
飞舞天漄
06-09 247
单例模式的几种实现 package singleton; /** * 单例模式 - 饿汉式 * 特点: 立即加载,调用时效率高 * 原理: 声明为static的变量在类加载时即初始化,jvm加载类不会发生并发问题 * 缺点: 如果不需要用到该类,将造成资源浪费 */ public class SingletonDemo1 { private static SingletonDemo...
单例模式详解(解决反射反序列化问题)
GaoChenXi
08-10 1489
1.饿汉式: package singleton; public class Demo01 { private static Demo01 d=new Demo01(); private Demo01(){ } public static Demo01 getInstance(){ return d; } } 2.懒汉式: package singleton;
单例模式反射漏洞反序列化漏洞
da_kao_la的博客
04-08 1387
单例模式反射漏洞反序列化漏洞 除了枚举式单例模式外,其余4种在单例模式提到的单例模式的实现方式都存在反射漏洞反序列化漏洞。 package singleton; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.ObjectInputStream; import java.io.O...
Java反序列化漏洞演示与分析POC
知识点Java 反序列化漏洞基础 Java 反序列化漏洞的原理主要基于 Java 的序列化机制。序列化是指将对象状态信息转换为可以存储或传输的形式的过程。在 Java 中,对象可以通过实现 Serializable 接口来进行序列化...
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值