如何看待java中的序列化

什么是序列化？

Java的序列化是将Java对象转换为字节流的过程，以便将其存储在文件中或通过网络发送到另一个计算机上。反序列化则是将字节流转换回Java对象的过程。

Java的序列化机制提供了一种方便的方式来存储和传输对象，一些常见的使用情况包括：

1. 将对象存储在磁盘上，以便在以后使用时恢复它们。

2. 2.通过网络发送对象，以便在远程系统上使用它们。

3. 在Java RMI（远程方法调用）中传递对象。
   尽管Java序列化提供了许多优点，但也存在一些缺点。以下是其中的一些：

4. 序列化的性能并不高，因为它需要将对象转换为字节流并进行网络传输或写入磁盘。

5. 序列化的格式可能不是公开的，这意味着它在不同版本之间可能不兼容。

6. 序列化可能存在安全问题，因为序列化可以为攻击者提供一种方式来执行恶意代码。

7. 因此，在使用Java序列化时，需要注意一些潜在的问题，并根据具体需求进行权衡和选择。

序列化的安全问题

反序列化漏洞：攻击者可以构造恶意序列化数据，在反序列化过程中执行恶意代码，从而实现攻击。这种漏洞可能会导致程序崩溃、数据泄露、身份盗窃等风险。

类型安全问题：在序列化和反序列化过程中，Java对象的类型信息很容易被修改或伪造，攻击者可以通过构造恶意序列化数据来绕过Java的类型检查，实现代码注入、远程执行等攻击。

为了解决这些安全问题，Java提供了以下措施：

对反序列化进行限制：Java 引入了新的反序列化API，可以限制反序列化时可访问的类和对象，从而减小反序列化漏洞的风险。此外，Java还提供了一些安全管理器，可以在反序列化时对代码的执行进行限制。

不过，虽然可以在反序列化是通过检测来降低风险，但是序列化的根本问题在，其可利用的攻击手段太过多，很难进行防护。

反序列化炸弹

Java反序列化炸弹是一种利用Java反序列化漏洞的攻击技术，它可以利用Java序列化/反序列化机制中的缺陷来执行恶意代码以达到攻击的目的。反序列化炸弹通常是一个特定的Java对象，它在被反序列化时会导致非常高的CPU占用和内存消耗，甚至可能导致系统崩溃或拒绝服务攻击。
反序列化炸弹的攻击方式是，攻击者构造一个特殊的Java序列化对象，其中包含大量的递归引用和无限循环，这样在反序列化时会导致程序陷入死循环或者内存溢出。攻击者可能会将反序列化炸弹嵌入到恶意软件中，当用户运行该软件时，反序列化炸弹就会被触发。
以下引入一段反序列化炸弹的示例提供参考

public Set bomb(){
 		Set<Object> root = new HashSet<>();
       Set<Object> s1 = root;
       Set<Object> s2 = new HashSet<>();
       for (int i = 0; i < 100; i++) {
           Set<Object> t1 = new HashSet<>();
           Set<Object> t2 = new HashSet<>();
           t1.add("haha");
           s1.add(t1);  s1.add(t2);
           s2.add(t1);  s2.add(t2);
           s1 = t1;
           s2 = t2;
		}
		return root;
}

首先，要了解在 Java 中，hashCode() 方法会在递归数据结构中被递归调用。递归数据结构是指一个包含自身或其他相同类型对象的数据结构。

例如，树和图是递归数据结构，因为它们包含节点和边，而每个节点和边又可以看作是树或图的子树或子图。

通过在循环中交替地添加Hashset类，最后的root变量将有100多层深的引用，由于反序列化HashSet需要计算其元素的散列码，反序列化时会调用hashCode方法超过2的100次方，这将导致计算时间几乎无限的，会让电脑一致计算提高cpu占用甚至导致内存溢出。

为了防止反序列化炸弹攻击，开发人员应该尽可能地避免使用Java的序列化/反序列化机制。如果必须使用这个机制，就需要对用户输入数据进行严格的过滤和校验，同时限制反序列化的深度和大小，以避免反序列化炸弹的攻击。

在java中使用序列化的一些建议

以下是在Java中使用序列化的一些建议：

明确序列化版本号：
为了避免序列化版本不兼容的问题，需要在Serializable类中明确指定版本号。可以使用serialVersionUID属性来实现，该属性是一个长整型常量，可以通过修改它来更改版本号。

避免序列化敏感数据：
序列化的数据可以通过网络传输或存储在文件中，在这些情况下可能会被非法访问。因此，不要在序列化对象中包含敏感数据，例如密码或密钥等。

谨慎使用默认序列化：
默认序列化机制可能存在安全漏洞或性能问题，因此最好在需要使用序列化的类中手动实现writeObject和readObject方法，以便更好地控制序列化的过程。

特殊处理不可序列化的对象：
一些Java对象（如线程）是不可序列化的，因此在序列化时需要特别处理它们。可以使用transient关键字来标记这些字段，以便在序列化过程中将它们忽略掉。

避免序列化闭包：
如果序列化的对象包含对其他对象的引用，那么这些对象也会被序列化，从而可能导致序列化闭包的问题。为了避免这种情况，可以使用transient关键字来标记这些引用，或者使用外部化机制来手动序列化对象。

注意序列化的性能：
序列化的过程可能会很慢，尤其是在序列化大对象或在网络上传输时。为了提高性能，可以使用Java自带的快速序列化库，如Kryo或Protobuf。

测试序列化的兼容性：
如果在不同版本的应用程序之间传输序列化数据，需要确保它们兼容。可以使用序列化工具来测试和验证不同版本之间的兼容性。

总的来说，对于一个类来说，除非必要，如在Mybatis框架中需要定义的javabean，或者是需要被序列化以用来添加在第三方框架中的类，其他情况下尽可能的不去序列化，在前后端的传输中推荐使用json格式。