JDK8的@CallerSensitive

在看java.lang.reflect.Proxy源码的时候看到有一行代码调用Reflection.getCallerClass(),这是个native方法,但这个方法上有个注解:@CallerSensitive,比较好奇,研究一下

权限

  • Reflection.getCallerClass()此方法的调用者必须有权限,需要什么样的权限呢?
    • 由bootstrap class loader加载的类可以调用
    • 由extension class loader加载的类可以调用
  • 都知道用户路径的类加载都是由 application class loader进行加载的,换句话说就是用户自定义的一些类中无法调用此方法

作用

Reflection.getCallerClass()方法调用所在的方法必须用@CallerSensitive进行注解,通过此方法获取class时会跳过链路上所有的有@CallerSensitive注解的方法的类,直到遇到第一个未使用该注解的类,避免了用Reflection.getCallerClass(int n) 这个过时方法来自己做判断。

如何验证

  • 写一个jdk动态代理测试代码,然后断点在java.lang.Class#forName(java.lang.String, boolean, java.lang.ClassLoader) (这个方法有@CallerSensitive注解),然后手动执行Reflection.getCallerClass()Reflection.getCallerClass(1) 方法,发现两者的结果是不一样的,而Reflection.getCallerClass() 结果为java.lang.reflect.Proxy$ProxyClassFactory,而Reflection.getCallerClass(1) 的结果是 java.lang.Class ,说明前者跳过了java.lang.Class,找到了java.lang.reflect.Proxy$ProxyClassFactory

遗憾

  • 查阅很多资料,最终还是没能搞明白这个东西的应用场景或者说这个功能必要性。
  • 有篇博文是说堵漏洞用的,看了好几遍没看明白,有兴趣的可以看看
发布了27 篇原创文章 · 获赞 25 · 访问量 4万+
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 大白 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览