Ana Sayfa / I/O / Seri duruma getirme filtreleri
I/O İleri

Seri duruma getirme filtreleri

Saldırıları önlemek için hangi sınıfların seri durumdan çıkarılabileceğini kısıtlayın.

Kod Karşılaştırması
✕ Java 8 
// Dangerous: accepts any class
ObjectInputStream ois =
    new ObjectInputStream(input);
Object obj = ois.readObject();
// deserialization attacks possible!
✓ Java 9+ 
ObjectInputFilter filter =
    ObjectInputFilter.Config
    .createFilter(
        "com.myapp.*;!*"
    );
ois.setObjectInputFilter(filter);
Object obj = ois.readObject();
Bu kodda bir sorun mu gördünüz? Bize bildirin.
Modern yöntem neden daha iyi
🛡️

Güvenlik

Beklenmedik/kötü niyetli sınıfların seri durumdan çıkarılmasını önleyin.

📐

İnce taneli

Derinlik, dizi boyutu, referanslar ve sınıf örüntülerini kontrol edin.

🏗️

JVM genelinde

JVM'deki tüm seri duruma getirme işlemleri için global filtre belirleyin.

Eski Yaklaşım
Her Şeyi Kabul Et
Modern Yaklaşım
ObjectInputFilter
JDK'dan itibaren
9
Zorluk
İleri
JDK Desteği
Seri duruma getirme filtreleri
Mevcut

JDK 9'dan itibaren geniş çapta kullanılabilir (Eylül 2017)

Nasıl çalışır

ObjectInputFilter, sınıfları izin listesine/reddetme listesine almanıza, nesne grafiği derinliğini, dizi boyutlarını ve referans sayılarını sınırlandırmanıza olanak tanır. Bu, harici kütüphaneler olmadan seri duruma getirme güvenlik açıklarına karşı koruma sağlar.

İlgili Belgeler
ObjectInputFilter ↗ Deserialization Filtering Guide ↗
İlgili desenler
I/O Başlangıç

InputStream.transferTo()

Java 8
byte[] buf = new byte[8192];
int n;
while ((n = input.read(buf)) != -1) {
    output.write(buf, 0, n);
}
Java 9+
input.transferTo(output);
Modernini görmek için üzerine gel ➜
JDK 9+
I/O Başlangıç

Modern HTTP client

Java 8
URL url = new URL("https://api.com/data");
HttpURLConnection con =
    (HttpURLConnection) url.openConnection();
con.setRequestMethod("GET");
BufferedReader in = new BufferedReader(
    new InputStreamReader(con.getInputStream()));
// read lines, close streams...
Java 11+
var client = HttpClient.newHttpClient();
var request = HttpRequest.newBuilder()
    .uri(URI.create("https://api.com/data"))
    .build();
var response = client.send(
    request, BodyHandlers.ofString());
String body = response.body();
Modernini görmek için üzerine gel ➜
JDK 11+
I/O Başlangıç

Path.of() factory

Java 8
Path path = Paths.get("src", "main",
    "java", "App.java");
Java 11+
var path = Path.of("src", "main",
    "java", "App.java");
Modernini görmek için üzerine gel ➜
JDK 11+
Paylaş 𝕏 🦋 in