JDK8的@CallerSensitive

最新推荐文章于 2024-08-14 15:41:32 发布
最新推荐文章于 2024-08-14 15:41:32 发布
阅读量1.8w 收藏 27
点赞数 14
分类专栏: java 文章标签: jdk 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aguda_king/article/details/72355807
版权

在看java.lang.reflect.Proxy源码的时候看到有一行代码调用Reflection.getCallerClass(),这是个native方法,但这个方法上有个注解:@CallerSensitive,比较好奇,研究一下

权限

  • Reflection.getCallerClass()此方法的调用者必须有权限,需要什么样的权限呢?
    • 由bootstrap class loader加载的类可以调用
    • 由extension class loader加载的类可以调用
  • 都知道用户路径的类加载都是由 application class loader进行加载的,换句话说就是用户自定义的一些类中无法调用此方法

作用

Reflection.getCallerClass()方法调用所在的方法必须用@CallerSensitive进行注解,通过此方法获取class时会跳过链路上所有的有@CallerSensitive注解的方法的类,直到遇到第一个未使用该注解的类,避免了用Reflection.getCallerClass(int n) 这个过时方法来自己做判断。

如何验证

  • 写一个jdk动态代理测试代码,然后断点在java.lang.Class#forName(java.lang.String, boolean, java.lang.ClassLoader) (这个方法有@CallerSensitive注解),然后手动执行Reflection.getCallerClass()Reflection.getCallerClass(1) 方法,发现两者的结果是不一样的,而Reflection.getCallerClass() 结果为java.lang.reflect.Proxy$ProxyClassFactory,而Reflection.getCallerClass(1) 的结果是 java.lang.Class ,说明前者跳过了java.lang.Class,找到了java.lang.reflect.Proxy$ProxyClassFactory

遗憾

  • 查阅很多资料,最终还是没能搞明白这个东西的应用场景或者说这个功能必要性。
  • 有篇博文是说堵漏洞用的,看了好几遍没看明白,有兴趣的可以看看
奕超
关注
专栏目录
Java进阶:@CallerSensitive详解
qq_28834355的博客
09-17 2095
前言 有一天在看Unsafe.getUnsafe()源码时,发现该方法上有@CallerSensitive注解。类似的比如Class.forName也有该注解。它们的源码分别如下: @CallerSensitive public static Unsafe getUnsafe() { Class var0 = Reflection.getCallerClass(); if (!VM.isSystemDomainLoader(var0.getClassLoader())) {
jdk11的class反射机制,将newInstance()方法设置为了不建议使用了,怎么通过反射创建新的对象
极客栈
11-05 5849
下面是jdk11的源代码,看到有个方法 @CallerSensitive @Deprecated(since="9") public T newInstance(){ 。。。。。。 } 这里就意味着,newInstance()不建议使用 这里看到jdk9就不建议使用了。那么应该用哪个代替呢? 我们知道创建对象有几种方式 1. new 关键字 ,默认或者显示地调用构造方法实现。 2.反射newInstance。 3.反射方式显示调用构造函数 4.深度拷贝copy 下面是C...
JVM注解@CallSensitive
热门推荐
HEL_WOR的博客
12-06 1万+
转载请注明 http://blog.csdn.net/HEL_WOR/article/details/50199797 @CallSensitive是JVM中专用的注解,在类加载过过程中是可以常常看到这个注解的身影的。 这是在Sun.reflect中的定义:@Retention(RetentionPolicy.RUNTIME) @Target({ java.lang.annotation.Elem
Reflection.getCallerClass()
最新发布
Ljj_fishhG的博客
08-14 340
DriverManager.getConnection;Reflection.getCallerClass()方法
@CallerSensitive 注解的作用
【欢迎关注公众号:冬瓜白】
02-21 6718
在java的 Class类forName方法上,有个CallerSensitive注解。 @CallerSensitive public static Class<?> forName(String className) throws ClassNotFoundException { Class<?> caller = Reflection.getCallerClass(); return forName0(className, true,
@CallerSensitive 原理
码农架构
08-19 861
关注公众号:码农架构。 回复资料,领取小码哥最新整理的面试资料 权限 Reflection.getCallerClass()此方法的调用者必须有权限,需要什么样的权限呢? 由bootstrap class loader加载的类可以调用 由extension class loader加载的类可以调用 都知道用户路径的类加载都是由 application class loader进行加载的,换句话说就是用户自定义的一些类中无法调用此方法 作用 Reflection.getCallerCl.
jvm注解 @CallerSensitive的用处
lcmlx1242的博客
08-28 2803
这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限,原理是当时反射只检查固定深度的调用者的类,看它有没有特权,例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够权限群访问某些信息,那我就可以通过双重反射去达到目的:反射相关的类是有很高权限的,而在 我-&gt;反射1-&gt;反射2 这样的调用链上,反射2检查权限时看到的是反射1的类,这就被欺骗了,导致...
扒一扒@CallerSensitive注解,有点意思
Huangjiazhen711的博客
10-17 1175
因为 一旦变化 就是一个新的String对象,旧的对象不变。
JDK Unsafe 源码注释
03-28
值得注意的是,getUnsafe()方法是一个被@CallerSensitive注解标记的方法,这意味着该方法会检查调用者的类加载器。如果调用者不是系统类加载器加载的,就会抛出一个SecurityException异常。这通常意味着应用代码无法...
java jdk8 源码解析之sql包:JDBC源码解析
mxy88888的博客
06-30 1038
在开发项目时我们经常会需要与数据库进行交互,为了统一标准,在java jdk中提供了一组与数据库交互的api(java.sql.*),每个厂商通过继承实现sql包下的接口和类完成与数据库交互的工作。以mysql为例。 ...
java 日志脱敏框架 sensitive-v0.0.4 系统内置常见注解,支持自定义注解
weixin_33861800的博客
01-18 222
项目介绍 日志脱敏是常见的安全需求。普通的基于工具类方法的方式,对代码的入侵性太强。编写起来又特别麻烦。 本项目提供基于注解的方式,并且内置了常见的脱敏方式,便于开发。 特性 基于注解的日志脱敏。 可以自定义策略实现,策略生效条件。 常见的脱敏内置方案。 java 深拷贝,且原始对象不用实现任何接口。 支持用户自定义注解。 自定义注解...
java 日志脱敏框架 sensitive-新版本0.0.2-深度拷贝,属性为对象和集合的支持
weixin_33969116的博客
01-10 219
项目介绍 日志脱敏是常见的安全需求。普通的基于工具类方法的方式,对代码的入侵性太强。编写起来又特别麻烦。 本项目提供基于注解的方式,并且内置了常见的脱敏方式,便于开发。 用户也可以基于自己的实际需要,自定义注解。 特性 基于注解的日志脱敏 可以自定义策略实现,策略生效条件 常见的脱敏内置方案 java 深拷贝,且原始对象不用实现任何接口。 快速开始 maven 导入 &lt;d...
Java日志脱敏框架Sensitive对手机号码脱敏处理
ChuaWi98的博客
05-11 864
pom.xml <dependency> <groupId>com.github.houbb</groupId> <artifactId>sensitive-core</artifactId> <version>0.0.9</version> </dependency> xxxInfoDTO import com.github.houbb.sensitive.annotation.Sensitive; .
Reflection的getCallerClass使用
weixin_43889487的博客
04-15 1087
Reflection的getCallerClass
偏门知识点
u013217730的博客
09-09 774
偏门知识点 Java相关 1、@CallerSensitive注解的作用是什么 这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限, 原理是当时反射只检查固定深度的调用者的类,看它有没有特权, 例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够 权限群访问某些信息,那我就可以通过双重反射去达到目的:反射相关 的类是有很高权限的,而在 我->反射1->反射2 这样的调用链上,反射2 检查权限时看到的是反射1的类,这就被欺骗了,导致安全漏洞。 使用Cal
JDK:Reflection的getCallerClass
samyang1的博客
08-07 8270
权限 Reflection.getCallerClass()此方法的调用者必须有权限,需要什么样的权限呢? 由bootstrap class loader加载的类可以调用 由extension class loader加载的类可以调用 都知道用户路径的类加载都是由 application class loader进行加载的,换句话说就是用户自定义的一些类中无法调用此方法 作用 R...
sun.reflect.Reflection类的学习UnSafe中
BingShuBlog的博客
03-20 494
Reflection简介一、简单使用二、总结 简介 今天在学习UnSafe类的时候,看到的使用了这个类,就想了解一下,但是发现自己不是很会用,查阅相关资料之后,学习了这个类的简单用法。 我发现自己是遇到什么学什么,哈哈哈,总是偏离主题,但是学了就记录一下吧,有喜欢的可以关注一下。 一、简单使用 刚学习的时候我仿造UnSafe中的写了一个方法,发现不能调用,报错。 后来换了方法才能使用的。 调用的时候报错 CallerSensitive annotation expected at frame 1 通过查
java 获得调用者类名,如何在Java中获取调用者类
weixin_28946193的博客
02-16 264
I want to get the caller class of the method, i.e.class foo{bar();}In the method bar, I need to get the class name foo, and I found this method:Class clazz = sun.reflect.Reflection.getCallerClass(1);H...
JDK8最新安装工具下载指南
资源摘要信息:"JDK8安装包.zip文件包含了Java开发工具包版本8的一个安装程序,具体为jdk-8u361-windows-x64.exe。JDK8是甲骨文公司推出的Java编程语言的一个版本,适用于Windows操作系统的64位计算机。JDK(Java ...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值