setAccessible(true)安全检查不通过 Bean转Map

最新推荐文章于 2023-09-25 02:00:00 发布
最新推荐文章于 2023-09-25 02:00:00 发布
阅读量4.5k 收藏 6
点赞数 1
CC 4.0 BY-SA版权
分类专栏: java 文章标签: Introspector BeanInfo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sunlihuo/article/details/83687319
本文介绍了一种将Java Bean安全转换为Map的方法,避免了使用setAccessible(true)带来的安全风险。通过Introspector和BeanInfo获取对象的属性描述符,然后调用getter方法读取属性值,最终将所有非'class'属性存入Map中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

setAccessible(true)安全检查不通过 Bean转Map

	public static Map<String, Object> beanToMap(Object object) throws Exception {
		Map<String, Object> map = new HashMap<String, Object>();

		Class cls = object.getClass();
		Field[] fields = cls.getDeclaredFields();
		for (Field field : fields) {
			field.setAccessible(true);
			map.put(field.getName(), field.get(object));
		}
		return map;
	}

上面的代码使用了setAccessible(true)公司安全检查不通过

	public static Map<String, Object> beanToMap(Object obj) {
		if (obj == null) {
			return null;
		}
		Map<String, Object> map = new HashMap<String, Object>();
		try {
			BeanInfo beanInfo = Introspector.getBeanInfo(obj.getClass());
			PropertyDescriptor[] propertyDescriptors = beanInfo.getPropertyDescriptors();
			for (PropertyDescriptor property : propertyDescriptors) {
				String key = property.getName();
				// 过滤class属性
				if (!key.equals("class")) {
					// 得到property对应的getter方法
					Method getter = property.getReadMethod();
					Object value = getter.invoke(obj);
					map.put(key, value);
				}
			}
		} catch (Exception e) {
			logger.error("transBean2Map Error ", e);
		}
		return map;
	}

使用这种方式,安全可靠

安全风险 - 如何解决 setAccessible(true) 带来的安全风险?
Android、前端、小程序、后端
05-14 2060
可能每款成熟的金融app上架前都会经过层层安全检测才能执行上架,所以我隔三差五就能看到安全检测报告中提到的问题,根据问题的同级别,处理的优先级也有所同,此次讲的主要是一个 “轻度问题” ,个人认为属于那种可改可改的状态。
BeanToMap or MapToBean
yjhqukq的博客
05-06 955
前期也写beanToMapmapToBean的工具类,只是有点土而已。 今天的beanToMapmapToBean比以往更具有健壮性、高效性,也算是了结了。 健壮性体现在: 若Bean中的实例成员变量为null,则在换成Map后,对应的键值对中的值也为null。 若Map中没有与Bean的实例成员变量相对应键值对,则在换成Bean后,Bean实例的那些成员变量也为null。 若Map中键值对的值的真实类型全是String,与Bean的实例成员变量类型无法挨个对应,则对Map中的Value挨
安扫提示field.setAccessible(true)漏洞问题(java Spring)
发呆中!
07-23 7918
因代码安全扫描提示出field.setAccessible(true)漏洞问题: 提示: AccessibleObject类Field,Method和Constructor对象的基类,能够允许反射对象修改访问权修饰符,绕过由Java访问修饰符提供的访问控制检查,它让程序员能够更改私有字段或调用稀有方法,这在通常情况下是允许的。 网上查到了在spring框架下的解决方案:ReflectionUtils.makeAccessible(field)(该方法是spring针对反射提供的工具类)。 ...
field.setAccessible(true);代码扫描有安全漏洞,解决方案
热门推荐
qq_44293888的博客
08-18 1万+
AccessibleObject类是Field、Method和Constructor对象的基类,能够允许反射对象修改访问权限修饰符,绕过由Java访问修饰符提供的访问控制检查。它让程序员能够更改私有字段或调用私有方法,这在通常情况下是允许的。 例如:以下代码片段中,将Field将accessible标记设置为true。 Class clazz = User.class; Field field = clazz.getField("name"); field.setAccessible(true); ...
field.setAccessible(true)问题
cdliker的博客
06-30 1979
field.setAccessible(true)的作用就是能够正常的方位私有属性 但其实在使用field.getName(“fieldName”)访问私有属性时设置field.setAccessible(true)会报错,真正报错的地方是field.get(对象) https://blog.youkuaiyun.com/qq1137623160/article/details/106615058 解决安全漏洞问题 https://blog.youkuaiyun.com/onemoster/article/detai.
通过java反射实现mapbean之间互
08-05
在给定的标题“通过java反射实现mapbean之间互”中,我们要探讨的是如何利用Java反射机制将Map对象换为Java Bean对象,以及反过来,将Java Bean对象换为Map对象。这个过程在数据处理和序列化中非常常见。 ...
map与java bean相互
qq_40572200的博客
11-11 4345
map与java对象的相互换1. 使用org.apache.commons.beanutils换2. 使用Introspector换3. 使用reflect换4. 使用net.sf.cglib.beans.BeanMap换5. 使用fastjson换 1. 使用org.apache.commons.beanutils换 pom.xml <!-- https://mvnrepository.com/artifact/commons-beanutils/commons-beanutils -
beanmap
最新发布
03-21
通过`BeanMap`工具类直接换,代码简洁,但需引入依赖。 ```xml <!-- pom.xml依赖 --> <groupId>commons-beanutils <artifactId>commons-beanutils <version>1.9.4 ``` ```java import org.apache.commons....
java实现Object和Map之间的换3种方式
08-30
同时,BeanMap 类也可以将 Object 对象换为 Map 对象。 ```java public static Object mapToObject(Map, Object> map, Class<?> beanClass) throws Exception { if (map == null) { return null; } Object ...
对象Map
lhhsyl的专栏
11-15 284
/** * bean换为属性map */ public static Map<String, Object> toPropertyMap(Object obj) { if (obj == null) { return null; } if(obj instanceof HashMap...
setAccessible方法忽略安全检查
康康要加油的博客
01-23 1583
setAccessible方法忽略安全检查
CQDESEC代码漏洞检测-》Access Specifier Manipulation-》方法 setAccessible() 可更改访问说明符
java漫步天下的专栏
08-14 2785
CQDESEC代码漏洞检测-》Access Specifier Manipulation-》方法 setAccessible() 可更改访问说明符
java 反射(二)之提高反射的方法 setAccessible(true)
qq_42922647的博客
04-30 4980
setAccessibletrue/false):表示启用和禁用安全检查的开关。 当值为true时,指反射对象在使用时应该取消java语言访问检查,值为false则只是反射的对象应该试试java语言访问检查。当 值 设置为true时,接受检查,可以提高反射的运行速度。 package com.reflect; import java.lang.reflect.Con...
【JAVA-WEB常见漏洞-本地命令执行漏洞】
Websec
11-24 1979
本地命令执行漏洞 攻击者一旦可以在服务器中执行任意本地系统命令就意味着服务器已被非法控制,在Java中可用于执行系统命令的方式有API有:java.lang.Runtime、java.lang.ProcessBuilder、java.lang.UNIXProcess/ProcessImpl。 1. Java本地命令执行测试 示例 - 存在本地命令执行代码(java.lang.Runtime): <%@ page contentType="text/html;charset=UTF-8" la
Java代码审计rce漏洞
m0_55772907的博客
11-15 1091
代码审计
JAVA Web应用常见漏洞与修复建议
qq_39560975的博客
07-27 8714
跨站脚本、输入验证、代码注入等常见漏洞解析和修改方案
Java代码审计17之fastjson反序列化漏洞(2)
划水的小白白
09-25 987
1、类加载与反射调用 1.1、类加载 1.2、测试代码 1.3、通过类的加载和反射调用evil类 2、Fastjson TemplatesImpl链调试 2.1、链路总览 2.2、调试构造利用链 3、fastjson反序列化TemplatesImpl 利⽤ 3.1、开启 Feature.SupportNonPublicField 得作用 3.2、构造利用payload 3.3、模拟实际环境
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值