@CallerSensitive学习笔记

最新推荐文章于 2022-09-22 11:29:50 发布
最新推荐文章于 2022-09-22 11:29:50 发布
阅读量209 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 笔记 文章标签: java 反射 源码
原文链接:https://www.cnblogs.com/makai/p/12857746.html
本文解析了如何通过CallerSensitive注解防止反射调用中的权限欺骗漏洞,阐述了其工作原理及在getCallerClass方法中的应用,确保了代码安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

解释
这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限,原理是当时反射只检查固定深度的调用者的类,看它有没有特权,例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够权限群访问某些信息,那我就可以通过双重反射去达到目的:反射相关的类是有很高权限的,而在 我->反射1->反射2 这样的调用链上,反射2检查权限时看到的是反射1的类,这就被欺骗了,导致安全漏洞。使用CallerSensitive后,getCallerClass不再用固定深度去寻找actual caller(“我”),而是把所有跟反射相关的接口方法都标注上CallerSensitive,搜索时凡看到该注解都直接跳过,这样就有效解决了前面举例的问题
作用
Reflection.getCallerClass()加了@CallerSensitive注解后,能够跟踪到最初的调用者。例如 method-1 -> method-2 -> method-3 -> method-4 -> Reflection.getCallerClass,最终返回的是method-1
@CallerSensitive能够堵住反射的漏洞,当你尝试用反射调用Reflection.getCallerClass(),结果会抛出异常

Java进阶:@CallerSensitive详解
qq_28834355的博客
09-17 2214
前言 有一天在看Unsafe.getUnsafe()源码时,发现该方法上有@CallerSensitive注解。类似的比如Class.forName也有该注解。它们的源码分别如下: @CallerSensitive public static Unsafe getUnsafe() { Class var0 = Reflection.getCallerClass(); if (!VM.isSystemDomainLoader(var0.getClassLoader())) {
扒一扒@CallerSensitive注解,有点意思
Huangjiazhen711的博客
10-17 1279
因为 一旦变化 就是一个新的String对象,旧的对象不变。
JVM注解@CallSensitive
luoyoub的博客
04-18 681
JVM注解@CallSensitive @CallSensitive是JVM中专用的注解,在类加载过过程中是可以常常看到这个注解的身影的,@CallSensitive用来找到真正发起反射请求的类 @CallSensitive的使用 @CallerSensitive public static Class<?> forName(String className) throws ...
@CallerSensitive注解
WTL的博客
05-09 3916
具体的理解请参考:https://blog.youkuaiyun.com/HEL_WOR/article/details/50199797。下面是我自己的理解:下面就是Class.forName的定义,学过java的应该都用过这个方法。 @CallerSensitive public static Class<?> forName(String className) ...
@CallerSensitive 注解的作用
【欢迎关注公众号:冬瓜白】
02-21 7135
java的 Class类forName方法上,有个CallerSensitive注解。 @CallerSensitive public static Class<?> forName(String className) throws ClassNotFoundException { Class<?> caller = Reflection.getCallerClass(); return forName0(className, true,
JavaSE笔记(三)重制版
qq_25928447的博客
09-22 4814
我们在前面已经学习了面向过程编程,也可以自行编写出简单的程序了。我们接着就需要认识 面向对象程序设计(Object Oriented Programming)它是我们在Java语言中要学习的重要内容,面向对象也是高级语言的一大重要特性。面向对象是新手成长的一道分水岭,有的人秒懂,有的人直到最后都无法理解。这一章开始难度就上来了,所以说请各位小伙伴一定认真。
Spring——AOP的jdk与cglib动态代理
casey_xiaoxin的博客
09-24 292
AOP简述 一个初学者的学习笔记 面向切面编程 AOP是OOP的延续,是软件开发中的一个热点,也是Spring框架中的一个重要内容,是函数式编程的一种衍生范型。利用AOP可以对业务逻辑的各个部分进行隔离,从而使得业务逻辑各部分之间的耦合度降低,提高程序的可重用性,同时提高了开发的效率。 下面展示AOP的两种动态代理 文章目录AOP简述一.JDK 动态代理二.Cglib动态代理 一.JDK 动态代理 JDK中的动态代理是通过反射类Proxy以及InvocationHandler回调接口实现的,只能对
JVM详解(二)类加载子系统
qq_29310729的博客
05-16 711
JVM详解(一)在这里感谢尚硅谷JVM(宋红康),在此记录一下自己详细对学习笔记,希望对你有所帮助。02类加载子系统类加载器与类的加载过程一个简单的例子加载:补充:加载. class文件的方式类的加载过程验证(Verify) :准备(Prepare) :解析(Resolve) :初始化:类的加载器虚拟机自带的加载器双亲委派机制在双亲委派机制中还有一个 “沙箱安全机制”。其他补充内容**对类加载器的引用****类的主动使用和被动使用** 在这里感谢尚硅谷JVM(宋红康),在此记录一下自己详细对学习笔记,希望对
小明学java基础系列——Java 类加载
小明的博客
09-05 524
Java11类加载学习笔记前言类加载器基本概念java.lang.ClassLoader 类介绍类加载器的树状组织结构类加载器的代理模式加载类的过程线程上下文类加载器Class.forName开发自己的类加载器文件系统类加载器网络类加载器类加载器与 Web 容器 前言 类加载器是 Java 语言的一个创新,也是 Java 语言流行的重要原因之一。它使得 Java 类可以被动态加载到 Java 虚拟机中并执行。类加载器从 JDK 1.0 就出现了,最初是为了满足 Java Applet 的需要而开发出来的。J
@CallSensitive
l1394049664的博客
08-03 455
@CallSensitive:是一个方法的注解、在类加载过过程中是可以常常看到这个注解 package sun.reflect; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import ...
Java 注解 CallerSensitive
weixin_34129696的博客
12-02 195
为什么80%的码农都做不了架构师?>>> ...
CallerSensitive注解是什么鬼?
大叶子不小的博客
10-18 591
https://www.jianshu.com/p/cec71079acdf 4.3.5 用@CallerSensitive注解修饰的方法从一开始就知道具体调用它的对象,这样就不用再经过一系列的检查才能确定具体调用它的对象了。它实际上是调用sun.reflect.Reflection.getCallerClass方法。 ...
sun.reflect.Reflection介绍以及@CallerSensitive注解
赶路人儿
11-23 3420
sun.reflect.Reflection 这个工具类是和反射相关的,我第一次见到这个方法是在java.sql.DriverManager中的getConnection方法中见到的: @CallerSensitive public static Connection getConnection(String url, String user, String password) throws SQLException { java.util.Properties info = n
java caller_java – sun.reflect.CallerSensitive注释是什么意思?
weixin_31515619的博客
02-27 263
根据JEP我链接的评论(也是here),A caller-sensitive method varies its behavior according to the classof its immediate caller. It discovers its caller’s class by invokingthe sun.reflect.Reflection.getCallerClass me...
@CallerSensitive 原理
码农架构
08-19 913
关注公众号:码农架构。 回复资料,领取小码哥最新整理的面试资料 权限 Reflection.getCallerClass()此方法的调用者必须有权限,需要什么样的权限呢? 由bootstrap class loader加载的类可以调用 由extension class loader加载的类可以调用 都知道用户路径的类加载都是由 application class loader进行加载的,换句话说就是用户自定义的一些类中无法调用此方法 作用 Reflection.getCallerCl.
偏门知识点
u013217730的博客
09-09 940
偏门知识点 Java相关 1、@CallerSensitive注解的作用是什么 这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限, 原理是当时反射只检查固定深度的调用者的类,看它有没有特权, 例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够 权限群访问某些信息,那我就可以通过双重反射去达到目的:反射相关 的类是有很高权限的,而在 我->反射1->反射2 这样的调用链上,反射2 检查权限时看到的是反射1的类,这就被欺骗了,导致安全漏洞。 使用Cal
Java基础5大机制——反射机制详解(一)
qq_37080455的博客
08-09 814
一、反射的概述 JAVA反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意一个方法和属性;这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。 要想解剖一个类,必须先要获取到该类的字节码文件对象。而解剖使用的就是Class类中的方法.所以先要获取到每一个字节码文件对应的Class类型的对象. 下面是详细说明: ...
sun.reflect.Reflection类的学习UnSafe中
BingShuBlog的博客
03-20 574
Reflection简介一、简单使用二、总结 简介 今天在学习UnSafe类的时候,看到的使用了这个类,就想了解一下,但是发现自己不是很会用,查阅相关资料之后,学习了这个类的简单用法。 我发现自己是遇到什么学什么,哈哈哈,总是偏离主题,但是学了就记录一下吧,有喜欢的可以关注一下。 一、简单使用 刚学习的时候我仿造UnSafe中的写了一个方法,发现不能调用,报错。 后来换了方法才能使用的。 调用的时候报错 CallerSensitive annotation expected at frame 1 通过查
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值