Accueil / I/O / Filtres de désérialisation
I/O Avancé

Filtres de désérialisation

Restreignez quelles classes peuvent être désérialisées pour prévenir les attaques.

Comparaison de Code
✕ Java 8 
// Dangerous: accepts any class
ObjectInputStream ois =
    new ObjectInputStream(input);
Object obj = ois.readObject();
// deserialization attacks possible!
✓ Java 9+ 
ObjectInputFilter filter =
    ObjectInputFilter.Config
    .createFilter(
        "com.myapp.*;!*"
    );
ois.setObjectInputFilter(filter);
Object obj = ois.readObject();
Un problème avec ce code ? Dites-le nous.
Pourquoi la méthode moderne gagne
🛡️

Sécurité

Prévient la désérialisation de classes inattendues ou malveillantes.

📐

Contrôle granulaire

Contrôlez la profondeur, la taille des tableaux, les références et les patterns de classes.

🏗️

Au niveau JVM

Établissez un filtre global pour toute la désérialisation dans la JVM.

Ancienne Approche
Tout accepter
Approche Moderne
ObjectInputFilter
Depuis JDK
9
Difficulté
Avancé
Support JDK
Filtres de désérialisation
Disponible

Disponible depuis JDK 9 (septembre 2017)

Comment ça fonctionne

ObjectInputFilter permet de créer des listes de classes autorisées et refusées, de limiter la profondeur du graphe d'objets, la taille des tableaux et le nombre de références. Cela défend contre les vulnérabilités de désérialisation sans avoir besoin de bibliothèques externes.

Documentation Associée
ObjectInputFilter ↗ Deserialization Filtering Guide ↗
Patterns associés
I/O Débutant

InputStream.transferTo()

Java 8
byte[] buf = new byte[8192];
int n;
while ((n = input.read(buf)) != -1) {
    output.write(buf, 0, n);
}
Java 9+
input.transferTo(output);
Survolez pour voir le moderne ➜
JDK 9+
I/O Débutant

Modern HTTP client

Java 8
URL url = new URL("https://api.com/data");
HttpURLConnection con =
    (HttpURLConnection) url.openConnection();
con.setRequestMethod("GET");
BufferedReader in = new BufferedReader(
    new InputStreamReader(con.getInputStream()));
// read lines, close streams...
Java 11+
var client = HttpClient.newHttpClient();
var request = HttpRequest.newBuilder()
    .uri(URI.create("https://api.com/data"))
    .build();
var response = client.send(
    request, BodyHandlers.ofString());
String body = response.body();
Survolez pour voir le moderne ➜
JDK 11+
I/O Débutant

Path.of() factory

Java 8
Path path = Paths.get("src", "main",
    "java", "App.java");
Java 11+
var path = Path.of("src", "main",
    "java", "App.java");
Survolez pour voir le moderne ➜
JDK 11+
Partager 𝕏 🦋 in