首页 / I/O / 反序列化过滤器
I/O 高级

反序列化过滤器

限制哪些类可以被反序列化,以防止攻击。

代码对比
✕ Java 8 
// Dangerous: accepts any class
ObjectInputStream ois =
    new ObjectInputStream(input);
Object obj = ois.readObject();
// deserialization attacks possible!
✓ Java 9+ 
ObjectInputFilter filter =
    ObjectInputFilter.Config
    .createFilter(
        "com.myapp.*;!*"
    );
ois.setObjectInputFilter(filter);
Object obj = ois.readObject();
发现此代码有问题? 告诉我们。
为什么现代方式更好
🛡️

安全性

防止反序列化意外或恶意的类。

📏

粒度控制

按类名、包、深度和大小过滤。

🔧

全局或每流

在 JVM 级别或每个 ObjectInputStream 设置过滤器。

旧方式
接受所有内容
现代方式
ObjectInputFilter
自 JDK
9
难度
高级
JDK 支持
反序列化过滤器
可用

自 JDK 9 起广泛可用(2017 年 9 月)

工作原理

ObjectInputFilter 允许您对类进行白名单/黑名单管理,限制对象图深度、数组大小和总字节数。这保护应用程序免受反序列化攻击。

相关文档
ObjectInputFilter ↗ Deserialization Filtering Guide ↗
相关模式
I/O 入门

InputStream.transferTo()

Java 8
byte[] buf = new byte[8192];
int n;
while ((n = input.read(buf)) != -1) {
    output.write(buf, 0, n);
}
Java 9+
input.transferTo(output);
悬停查看现代版 ➜
JDK 9+
I/O 入门

Modern HTTP client

Java 8
URL url = new URL("https://api.com/data");
HttpURLConnection con =
    (HttpURLConnection) url.openConnection();
con.setRequestMethod("GET");
BufferedReader in = new BufferedReader(
    new InputStreamReader(con.getInputStream()));
// read lines, close streams...
Java 11+
var client = HttpClient.newHttpClient();
var request = HttpRequest.newBuilder()
    .uri(URI.create("https://api.com/data"))
    .build();
var response = client.send(
    request, BodyHandlers.ofString());
String body = response.body();
悬停查看现代版 ➜
JDK 11+
I/O 入门

Path.of() factory

Java 8
Path path = Paths.get("src", "main",
    "java", "App.java");
Java 11+
var path = Path.of("src", "main",
    "java", "App.java");
悬停查看现代版 ➜
JDK 11+
分享 𝕏 🦋 in