الرئيسية / I/O / مرشّحات إلغاء التسلسل
I/O متقدم

مرشّحات إلغاء التسلسل

قيّد الفئات التي يمكن إلغاء تسلسلها لمنع الهجمات.

مقارنة الكود
✕ Java 8 
// Dangerous: accepts any class
ObjectInputStream ois =
    new ObjectInputStream(input);
Object obj = ois.readObject();
// deserialization attacks possible!
✓ Java 9+ 
ObjectInputFilter filter =
    ObjectInputFilter.Config
    .createFilter(
        "com.myapp.*;!*"
    );
ois.setObjectInputFilter(filter);
Object obj = ois.readObject();
هل ترى مشكلة في هذا الكود؟ أخبرنا.
لماذا يتفوق الأسلوب الحديث
🛡️

الأمان

منع إلغاء تسلسل الفئات غير المتوقعة أو الضارة.

📐

دقيق

التحكم في العمق وحجم المصفوفة والمراجع وأنماط الفئات.

🏗️

على مستوى JVM

ضبط مرشّح عام لجميع عمليات إلغاء التسلسل في JVM.

الأسلوب القديم
قبول كل شيء
الأسلوب الحديث
ObjectInputFilter
منذ JDK
9
الصعوبة
متقدم
دعم JDK
مرشّحات إلغاء التسلسل
متاح

متاح على نطاق واسع منذ JDK 9 (سبتمبر 2017)

كيف يعمل

يتيح لك ObjectInputFilter إدراج الفئات في القائمة البيضاء أو السوداء وتحديد عمق مخطط الكائنات وأحجام المصفوفات وأعداد المراجع. يدافع هذا عن نقاط ضعف إلغاء التسلسل دون مكتبات خارجية.

توثيق ذو صلة
ObjectInputFilter ↗ Deserialization Filtering Guide ↗
إثبات
عرض كود الإثبات ↗
أنماط ذات صلة
I/O مبتدئ

InputStream.transferTo()

Java 8
byte[] buf = new byte[8192];
int n;
while ((n = input.read(buf)) != -1) {
    output.write(buf, 0, n);
}
Java 9+
input.transferTo(output);
مرر للرؤية الحديث ←
JDK 9+
I/O مبتدئ

Modern HTTP client

Java 8
URL url = new URL("https://api.com/data");
HttpURLConnection con =
    (HttpURLConnection) url.openConnection();
con.setRequestMethod("GET");
BufferedReader in = new BufferedReader(
    new InputStreamReader(con.getInputStream()));
// read lines, close streams...
Java 11+
var client = HttpClient.newHttpClient();
var request = HttpRequest.newBuilder()
    .uri(URI.create("https://api.com/data"))
    .build();
var response = client.send(
    request, BodyHandlers.ofString());
String body = response.body();
مرر للرؤية الحديث ←
JDK 11+
I/O مبتدئ

Path.of() factory

Java 8
Path path = Paths.get("src", "main",
    "java", "App.java");
Java 11+
var path = Path.of("src", "main",
    "java", "App.java");
مرر للرؤية الحديث ←
JDK 11+