java禁止反射

最新推荐文章于 2025-01-10 09:38:11 发布
最新推荐文章于 2025-01-10 09:38:11 发布
阅读量2.6k 收藏 2
点赞数 1
分类专栏: java基础
原文链接:https://blog.youkuaiyun.com/weixin_33774883/article/details/93570419
版权

转载:https://blog.youkuaiyun.com/weixin_33774883/article/details/93570419

 

SecurityManager

有一个checkMemberAccess这个方法可以阻止利用反射;
如:

SecurityManager sm = new SecurityManager();
sm.checkMemberAccess(Test.class, Member.PUBLIC);

前面一个为CLASS,后面需要填一个INT值,Member.PUBLIC 代表可以访问,
如果是PUBLIC,反射可以执行,DECLARED,反射运行时,会报错。

 

SecurityManager另外一个例子:
package com.jd.basic.pk.manager;

import java.lang.reflect.Field;
import java.security.Permission;

public class UseReflection {
    static {
        try {
            System.setSecurityManager(new MySecurityManager());
        } catch (SecurityException se) {
            System.out.println("SecurityManager already set!");
        }

    }

    public static void main(String args[]) {
        Object prey = new Prey();
        try {
            Field pf = prey.getClass().getDeclaredField("privateString");
            pf.setAccessible(true);
            pf.set(prey, "Aminur test");
            System.out.println(pf.get(prey));
        } catch (Exception e) {
            System.err.println("Caught exception " + e.toString());
        }

    }
}

class Prey {
    @SuppressWarnings("unused")
    private String privateString = "privateValue";
}

class MySecurityManager extends SecurityManager {
    public void checkPermission(Permission perm) {
        if (perm.getName().equals("suppressAccessChecks")) {
            throw new SecurityException("Can not change the permission dude.!");
        }
    }
}
Java 9 反射访问新特性详解与实例
m0_62153576的博客
01-14 753
通过以上实例,我们可以看到Java 9中反射访问的新特性和不同选项的影响。为了确保代码的兼容性和未来的可维护性,建议尽量避免使用非法反射访问,并在必要时升级或修改依赖的库和框架。
Java安全】Java反射机制-调用构造器
11-27 176
Java反射(Reflection)是Java非常重要的动态特性,通过使用反射我们不仅可以获取到任何类的成员方法(Methods)、成员变量(Fields)、构造方法(Constructors)等信息,还可以动态创建Java类实例、调用任意的类方法、修改任意的类成员变量值等。Java反射机制是Java语言的动态性的重要体现,也是Java的各种框架底层实现的灵魂。2023年11月27日 杭州 github:zangcc
java安全策略 禁止反射_初探java安全之反射
weixin_42364833的博客
02-16 2705
什么是反射反射机制在java中可以说是非常强大的,很多优秀的开源框架都是通过反射完成的。在java的运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法,都能够调用它的任意一个方法和属性,这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。下面介绍下基于反射技术的函数方法。与反射相关的,其实主要就是几个关键的函数方法。可以先从这一段简单的代码看起public void...
Java 反射
weixin_30603633的博客
01-04 571
Java 反射 标签 : Java基础 动态语言 动态语言,是指程序在运行时可以改变其结构:新的函数可以被引进,已有的函数可以被删除等在结构上的变化。比如众所周知的ECMAScript(JavaScript)便是一个动态语言。除此之外如Ruby、Python等也都属于动态语言,而C、C++等语言则不属于动态语言。(引自: 百度百科) var execS...
java 防止反射_Java设计模式(一):单例模式,防止反射和反序列化漏洞
weixin_35879989的博客
02-13 692
一、懒汉式单例模式,解决反射和反序列化漏洞package com.iter.devbox.singleton;import java.io.ObjectStreamException;import java.io.Serializable;/*** 懒汉式(如何防止反射和反序列化漏洞)* @author Shearer**/public class SingletonDemo6 implement...
java 防止反射_Java 反射机制详解
weixin_35626356的博客
02-25 1105
动态语言动态语言,是指程序在运行时可以改变其结构:新的函数可以被引进,已有的函数可以被删除等在结构上的变化。比如众所周知的ECMAScript(JavaScript)便是一个动态语言。除此之外如Ruby、Python等也都属于动态语言,而C、C++等语言则不属于动态语言。(引自: 百度百科)varexecString="alert(Math.floor(Math.random()*10));...
java如何禁掉反射
weixin_33774883的博客
05-13 651
SecurityManager 有一个checkMemberAccess这个方法可以阻止利用反射;如: SecurityManager sm = new SecurityManager(); sm.checkMemberAccess(Test.class, Member.PUBLIC); 前面一个为CLASS,后面需要填一个INT值,Member.PUBLIC 代表可以访问,如果是...
java 反射动态修改数据类型_023 JAVA 反射机制、Class对象、反射机制动态操作及反射操作泛型...
weixin_36390615的博客
02-24 737
1. 反射机制介绍1.1 反射机制是 Java 的动态性之一动态语言:在程序运行时,可以改变程序的结构或变量的 类型。典型的动态语言有:Python、ruby、JavaScripC,C++,Java 不是动态语言,但具有一定的动态性,可以 称为”准动态语言”,具备类似动态语言的特性。传一块代码来动态的执行,动态的处理,Java 也能做,可 以利用反射来实现类似的功能。Java的动态性让编程变得更加...
java反射的使用场景和技巧
最新发布
weixin_45476869的博客
01-10 468
反射在框架开发、动态代理、工具构建等方面具有重要作用,但需要合理使用,避免性能开销和安全隐患。在实际开发中,尽量通过抽象封装减少对反射 API 的直接依赖。
java 防止反射_如何防止单例模式被JAVA反射攻击
weixin_36487530的博客
02-13 481
单例模式相信大家都知道,用过的人不在少数。之前写过一篇博文《singleton模式四种线程安全的实现》(参见:http://blog.youkuaiyun.com/u013256816/article/details/50427061),讲诉了单例模式的四种写法,并指出占位符模式的写法比较ok,详见如下:package com.effective.singleton;public class Elvis{pr...
java 防止反射_如何防止JAVA反射对单例类的攻击?
weixin_30849865的博客
02-13 452
在我的上篇随笔中,我们知道了创建单例类有以下几种方式:(1).饿汉式;(2).懒汉式(、加同步锁的懒汉式、加双重校验锁的懒汉式、防止指令重排优化的懒汉式);(3).登记式单例模式;(4).静态内部类单例模式;(5).枚举类型的单例模式。在上面的5种实现方式中,除了枚举类型外,其他的实现方式是可以被JAVA反射机制给攻击的,即使他的构造方法是私有化的,我们也可以做一下处理,从外部得到它的实例。下面...
java安全策略 禁止反射,Java中的类型安全方法反射
weixin_32307987的博客
02-16 199
Is any practical way to reference a method on a class in a type-safe manner? A basic example is if I wanted to create something like the following utility function:public Result validateField(Object d...
java实现单例模式及如何防止反射及反序列化破坏单例模式
qq_38000971的博客
04-19 1309
懒汉式 懒汉式就是当程序需要到的时候才去创建实例 1.线程不安全写法 public class Singleton1 { private static Singleton1 instance = null; public static Singleton1 getInstance(){ if(instance==null){ instanc...
Java基础-单例防反射
MatrixMind的博客
03-26 608
1.单例的优势 单例模式(Singleton Pattern)是 Java 中创建型模式中最简单的设计模式,它提供了一种创建对象和访问对象以及减少资源重复创建的极佳的方式。 这种模式涉及到一个单一的类或者单一的内部类,该类负责创建同时确保只有该类的唯一对象被创建。这个类提供了以类名访问该对象的访问方式。 既然单例模式这么多优点那么我们怎么设计单例模式呢。 1.我们需要知道对象的创建有哪几种方式: new一个对象,反射newinstance(), 反序列化ObjectInputStream() 2
禁止类的反射操作
08-12 914
禁止反射可以用代码操作 单例私有构造函数加静态类的判断 java的权限操作 import java.lang.reflect.Member; public class Security { private String name; public Security(){ ...
单例模式,防止反射和反序列化漏洞
帅性而为1号的博客
06-29 2456
一、懒汉式单例模式,解决反射和反序列化漏洞 [java] view plain copy   package com.iter.devbox.singleton;      import java.io.ObjectStreamException;   import java.io.Serializable;      /**   * 
禁止反射创建实例、 禁止修改破坏单例模式
叶新东老师的博客
03-26 1180
一般情况下, 单例模式都是禁止修改的,为了防止反射创建单例模式,从而变成多例,那我们就需要把实例提前创建好,用静态(static)方法实现,在加载class文件的时候就创建好,并且把构造函数设为私有(private)的, 并且在构造方法内添加判断,关键代码如下: /** * 私有构造方法 */ private App_one(){ // 如果单例不为空,抛出异常 if(null != thisObj){ t...
《如何防止单例模式被JAVA反射攻击》的分析
Rocky_Zhang2018的博客
12-08 499
原文引自:https://blog.youkuaiyun.com/u013256816/article/details/50525335 单例模式相信大家都知道,用过的人不在少数。之前写过一篇博文《singleton模式四种线程安全的实现》(参见:http://blog.youkuaiyun.com/u013256816/article/details/50427061),讲诉了单例模式的四种写法,并指出占位符模式的写...
Java反射机制
losemyfuture的博客
07-27 404
目录   1 反射机制 1.1反射机制的作用 1.3 反射机制的应用场景 1.4 反射机制获取类有三种方法 1.5 反射创建对象的方式 1.6 禁止使用反射机制初始化 1.7 反射创建api 1.8 样例 1.9 手写spring IOC 1 反射机制 就是正在运行动态获取当前类的所有信息,类可以不用new,使用Java反射机制帮你初始化。类的私有属性也可以用Java反射...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值