jvm注解 @CallerSensitive的用处

最新推荐文章于 2023-05-03 22:28:50 发布
原创 最新推荐文章于 2023-05-03 22:28:50 发布 · 2.8k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

博客介绍了CallerSensitive注解的作用,黑客曾利用双重反射构造调用链欺骗反射权限检查,造成安全漏洞。使用CallerSensitive注解后,getCallerClass不再用固定深度寻找调用者,而是跳过标注该注解的反射接口方法,有效解决了此问题。

这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限,原理是当时反射只检查固定深度的调用者的类,看它有没有特权,例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够权限群访问某些信息,那我就可以通过双重反射去达到目的:反射相关的类是有很高权限的,而在 我->反射1->反射2 这样的调用链上,反射2检查权限时看到的是反射1的类,这就被欺骗了,导致安全漏洞。使用CallerSensitive后,getCallerClass不再用固定深度去寻找actual caller(“我”),而是把所有跟反射相关的接口方法都标注上CallerSensitive,搜索时凡看到该注解都直接跳过,这样就有效解决了前面举例的问题

扒一扒@CallerSensitive注解,有点意思!
m0_71777195的博客
10-17 240
因为 一旦变化 就是一个新的String对象,旧的对象不变。
sun.reflect.Reflection介绍以及@CallerSensitive注解
赶路人儿
11-23 3594
sun.reflect.Reflection 这个工具类是和反射相关的,我第一次见到这个方法是在java.sql.DriverManager中的getConnection方法中见到的: @CallerSensitive public static Connection getConnection(String url, String user, String password) throws SQLException { java.util.Properties info = n
Java 注解 CallerSensitive
weixin_34129696的博客
12-02 209
为什么80%的码农都做不了架构师?>>> ...
@CallerSensitive 注解的作用
一叶知秋
09-05 1003
如Reflection.getCallerClass()方法规定,调用它的对象,必须有 @CallerSensitive 注解,否则 报异常 Exception in thread "main" java.lang.InternalError: CallerSensitive annotation expected at。总结就是说 jdk内有些方法,jvm的开发者认为这些方法危险,不希望开发者调用,就把这种危险的方法用 @CallerSensitive修饰,并在“jvm”级别检查。
@CallerSensitive
zhou920786312的博客
09-28 819
CallerSensitive学习 代码位置(Reflection类) public class Reflection { @CallerSensitive public static native Class<?> getCallerClass(); 权限 Reflection.getCallerClass()此方法的调用者必须有权限 由bootstrap class loa...
@CallerSensitive注解
WTL的博客
05-09 3937
具体的理解请参考:https://blog.youkuaiyun.com/HEL_WOR/article/details/50199797。下面是我自己的理解:下面就是Class.forName的定义,学过java的应该都用过这个方法。 @CallerSensitive public static Class&lt;?&gt; forName(String className) ...
JDK8的@CallerSensitive
热门推荐
aguda_king的博客
05-17 1万+
在看java.lang.reflect.Proxy源码的时候看到有一行代码调用Reflection.getCallerClass(),这是个native方法,但这个方法上有个注解@CallerSensitive,比较好奇,研究一下 权限 Reflection.getCallerClass()此方法的调用者必须有权限,需要什么样的权限呢? 由bootstrap class loader加载的类可以
Kotlin系列之@JvmField、@JvmName、@JvmOverloads、@JvmStatic等注解详解
小孟来码的博客
09-23 1万+
Kotlin系列之@JvmField、@JvmName、@JvmOverloads、@JvmStatic、@JvmMultifileClass、@JvmSynthetic等注解详解
Java注解之@IntrinsicCandidate
lanluyug的博客
05-03 3690
IntrinsicCandidate是一个Java注解,用于标记一个方法或构造函数是一个内在的候选方法,即该方法或构造函数是由编译器自动生成的,而不是由开发人员手动编写的。例如,JVM可以将使用@IntrinsicCandidate注解的方法替换为JVM内置的方法,如System.arraycopy(),以提高数组复制的效率。具体来说,当JVM检测到使用了@IntrinsicCandidate注解的方法时,它会尝试将该方法替换为更高效的内置方法,以提高程序的性能。
Netty注解@Sharable、@Skip、@UnstableApi、@SuppressJava6Requirement、@SuppressForbidden
CodingAnHour
08-15 1559
在jdk10一下,使用docker容器初始化Group时获计算cpu核数时Runtime.getRuntime().availableProcessors()),获取的是宿主机的cpu核数。如果非共享的Handler重复加入就会抛出异常,提示非共享Handler不能重复加入,在cash中同时会断开链接。https://github.com/policeman-tools/forbidden-apis/去除 “禁用” 报警,forbidden组件会在编译(maven compile)阶段。...
@CallerSensitive 原理
码农架构
08-19 1048
关注公众号:码农架构。 回复资料,领取小码哥最新整理的面试资料 权限 Reflection.getCallerClass()此方法的调用者必须有权限,需要什么样的权限呢? 由bootstrap class loader加载的类可以调用 由extension class loader加载的类可以调用 都知道用户路径的类加载都是由 application class loader进行加载的,换句话说就是用户自定义的一些类中无法调用此方法 作用 Reflection.getCallerCl.
扒一扒@CallerSensitive注解,有点意思
Huangjiazhen711的博客
10-17 1302
因为 一旦变化 就是一个新的String对象,旧的对象不变。
jvm(二)之类加载器
jannal专栏
05-04 376
文章目录概述类加载类加载器组织结构Bootstrap ClassLoaderExtension ClassLoaderSystem ClassLoader类加载机制自定义类加载器类加载器与Web容器线程上下文类加载器Class.forName与ClassLoader的区别Jar Hell 概述 Class Loader定义:当运行Java程序时,首先运行JVM,然后再把Java clas...
偏门知识点
u013217730的博客
09-09 975
偏门知识点 Java相关 1、@CallerSensitive注解的作用是什么 这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限, 原理是当时反射只检查固定深度的调用者的类,看它有没有特权, 例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够 权限群访问某些信息,那我就可以通过双重反射去达到目的:反射相关 的类是有很高权限的,而在 我->反射1->反射2 这样的调用链上,反射2 检查权限时看到的是反射1的类,这就被欺骗了,导致安全漏洞。 使用Cal
JAVA反射
laomumu1992的博客
03-26 637
一、反射的设计原则 首先看书要理解反射,很难完全理解,这关系到Java的语言特性,jvm的内存细节,当初我看反射,就像高票答案那样,照着写一遍,结果是你并没有理解,你只是照猫画虎,要想真正理解,应不断深入探究,当你踩得足够深回过头来,你会柳暗花明! 首先我们了解一下JVMJAVA之所以能够跨平台就是因为JVM,可以理解成一个进程,程序只不过是用来跑...
JVM 编译优化」插入式注解处理器(自定义代码编译检查)
三余知行
02-19 1165
JVM 编译优化 - 插入式注解处理器(NameCheckProcessor: 自定义代码编译检查)
CallerSensitive注解是什么鬼?
大叶子不小的博客
10-18 703
https://www.jianshu.com/p/cec71079acdf 4.3.5 用@CallerSensitive注解修饰的方法从一开始就知道具体调用它的对象,这样就不用再经过一系列的检查才能确定具体调用它的对象了。它实际上是调用sun.reflect.Reflection.getCallerClass方法。 ...
JVM注解@CallSensitive
luoyoub的博客
04-18 700
JVM注解@CallSensitive @CallSensitive是JVM中专用的注解,在类加载过过程中是可以常常看到这个注解的身影的,@CallSensitive用来找到真正发起反射请求的类 @CallSensitive的使用 @CallerSensitive public static Class&lt;?&gt; forName(String className) throws ...
java 注解@Report
最新发布
10-26
Java注解@Report可用于为代码元素(方法或字段)添加元数据信息,其使用方法和作用如下: ### 定义注解 使用@interface语法来定义注解@Report,注解中的每个方法表示一个配置参数,返回类型即是参数类型,可以通过default标识参数默认值,最常用的参数应当命名为value。若要让@Report可用在方法或字段上,可把@Target注解参数变为数组`{ ElementType.METHOD, ElementType.FIELD }`。示例代码如下: ```java import java.lang.annotation.ElementType; import java.lang.annotation.Target; @Target({ ElementType.METHOD, ElementType.FIELD }) public @interface Report { int type() default 0; String value() default ""; } ``` ### 使用注解 在类的方法或字段上使用@Report注解,为其添加元数据。示例如下: ```java public class Person { @Report(type = 1, value = "Field report") private String name; @Report(type = 2, value = "Method report") public void sayHello() { System.out.println("Hello!"); } } ``` ### 获取注解信息 在运行时,可以通过反射机制获取注解信息。示例如下: ```java import java.lang.reflect.Field; import java.lang.reflect.Method; public class Main { public static void main(String[] args) throws NoSuchFieldException, NoSuchMethodException { // 获取Person类定义的@Report注解 // 获取字段上的注解 Field field = Person.class.getDeclaredField("name"); Report fieldReport = field.getAnnotation(Report.class); if (fieldReport != null) { int fieldType = fieldReport.type(); String fieldValue = fieldReport.value(); System.out.println("Field Report - Type: " + fieldType + ", Value: " + fieldValue); } // 获取方法上的注解 Method method = Person.class.getMethod("sayHello"); Report methodReport = method.getAnnotation(Report.class); if (methodReport != null) { int methodType = methodReport.type(); String methodValue = methodReport.value(); System.out.println("Method Report - Type: " + methodType + ", Value: " + methodValue); } } } ``` ### 注解作用 Java注解本身对代码逻辑没有任何影响,但根据@Retention的配置不同,注解的生命周期和可访问性会有所不同。若配置为RUNTIME类型,注解会被加载进JVM,并且在运行期可以被程序读取,可用于在运行时动态获取代码元素的额外信息,从而实现一些特定的功能,如代码检查、配置读取等 [^5]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值