Java设计模式(一):单例模式,防止反射和反序列化漏洞

最新推荐文章于 2024-08-27 22:52:06 发布
最新推荐文章于 2024-08-27 22:52:06 发布
阅读量8.4k 收藏 6
点赞数 3
分类专栏: 设计模式 JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hardwin/article/details/51477359
版权
本文探讨了Java中的懒汉式单例模式,并详细讲解如何通过优化来防止反射攻击和反序列化漏洞,确保单例的安全性。
摘要由CSDN通过智能技术生成

一、懒汉式单例模式,解决反射和反序列化漏洞

package com.iter.devbox.singleton;

import java.io.ObjectStreamException;
import java.io.Serializable;

/**
 * 懒汉式(如何防止反射和反序列化漏洞)
 * @author Shearer
 *
 */
public class SingletonDemo6 implements Serializable{
	
	// 类初始化时,不初始化这个对象(延迟加载,真正用的时候再创建)
	private static SingletonDemo6 instance;
	
	private SingletonDemo6() {
		// 防止反射获取多个对象的漏洞
		if (null != instance) {
			throw new RuntimeException();
		}
	}
	
	// 方法同步,调用效率低
	public static synchronized SingletonDemo6 getInstance() {
		if (null == instance)
			instance = new SingletonDemo6();
		return instance;
	}

	// 防止反序列化获取多个对象的漏洞。
	// 无论是实现Serializable接口,或是Externalizable接口,当从I/O流中读取对象时,readResolve()方法都会被调用到。
	// 实际上就是用readResolve()中返回的对象直接替换在反序列化过程中创建的对象。
	private Object readResolve() throws ObjectStr
最低0.47元/天 解锁文章
Lena-Yang
关注
专栏目录
反序列化漏洞
weixin_46476861的博客
03-23 8726
什么是反序列化 就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串,当你要用的时
单例模式及其序列化/反序列化
xuerhu85的博客
02-26 212
为了使一个单例类变成可串行化的,仅仅在声明中添加“implements Serializable”是不够的。因为一个串行化的对象在每次返串行化的时候,都会创建一个新的对象,而不仅仅是一个对原有对象的引用。为了防止这种情况,可以在单例类中加入readResolve 方法。 下面我们先简要地回顾下对象的序列化. 一般来说, 一个类实现了 Serializable接口,...
Java设计模式单例模式详细讲解和案例示范
最新发布
J老熊
08-27 1296
单例模式是一种创建型设计模式,它确保某个类在系统中只有一个实例存在,并提供一个全局访问该实例的方式。需要控制资源的唯一性:如数据库连接池、配置文件管理器等。需要对共享资源进行控制:如线程池管理、日志记录器等。
单例模式之序列化与反序列化实现
anLA_的专栏
04-16 2227
静态内部类可以达到线程安全问题,但是如果遇到序列化对象时,使用默认的方式运行得到的结果 坑你还是多例的。 package test; import java.io.ObjectStreamException; import java.io.Serializable; public class MyObject implements Serializable { private stat
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
开源软件没你想象中那么安全,Java 开发者尤其要警惕
weixin_34061555的博客
02-28 332
Snyk 今天发布了2019年开源安全现状调查报告,这是一家针对开源项目提供安全服务的知名公司。 前言 为了更好地了解开源领域的安全现状,以及我们该如何让开源世界的安...
Java设计模式单例模式
CK_self的博客
08-25 147
单例模式 保证一个类只有一个实例,并且提供一个访问该实例的全局访问点。 单例设计模式主要关心的几个点: 1.延迟加载 2.线程安全 3.效率 特点 该类在全局只有一个实例。 只提供一个访问该实例的全局访问点。 应用场景 Windows 的任务管理器 就是最典型的单例模式 Windows 的回收站也是典型的单例应用 项目中,读取配置文件的类,一般也只有一个对象,没必要每次使用配置文...
Java单例模式(Singleton)
Progran_ape的博客
02-07 580
一、单例模式介绍 1、什么是单例模式 单例模式(Singleton Pattern)是 Java 中最简单的设计模式之一。这种类型的设计模式属于创建型模式,它提供了一种创建对象的最佳方式。 2、单例模式特点 1)涉及一个单一类,必须创建自己的唯一实例(对象) 2)只能有一个实例(对象) 3)这个类提供了一种访问其唯一的对象的方式,可以直接访问,不需要实例化该类的对象 3、单例模式与静态类 了解完单...
Java学习笔记之--------单例模式(一)
wangruoao的博客
09-19 303
单例模式的核心作用 保证一个类只有一个实例,并且提供一个访问该实例的全局访问点。 单例模式的应用场景 Windows的Task Manager(任务管理器)。 Windows的Recycle Bin(回收站)。在整个系统运行过程中,回收站一直维护着仅有的一个实例。 项目中,读取配置文件的类,一般也只有一个对象。没有必要每次使用配置文件数据,都new一个对象去读取。 网站的计数器,一般也...
设计模式单例模式
offer!
05-07 147
目录 一、基本介绍 二、代码实现 三、解决反射、序列化破解上面几种实现方式的漏洞(除枚举式外) ①反射漏洞反序列化漏洞 一、基本介绍 核心作用:保证一个类只有一个实例,并且提供一个访问该实例的全局访问点。 优点:1.由于单例模式只生成一个实例,减少了系统性能开销,当一个对象的产生需要比较多的资源时,如读取配置、产生其他 依赖对象时,则可以通过在应用启动时直接产生一个单例...
单例模式反序列化总结
weixin_34255793的博客
07-01 146
2019独角兽企业重金招聘Python工程师标准>>> ...
单例模式漏洞,通过反射和序列化、反序列化来破解单例,以及如何避免这些漏洞
jklbnm12的博客
03-18 177
(一)单例模式(以饿汉式为例) **   首先的话,看下面的代码:** **    ** (二)通过反射来破解单例模式 **    在看下面的代码** **    ** 看运行的结果: 说明:打印出来的结果不一样,说明这2个对象就是不同的对象,这样就破解了单例模式 (三)通过序列化和反序列化破解单例 **   ** 看运行效果: **    ** 说明:打印出来的结果不一样,说明这2个对象就是不同的对象,这样就破解了单例模式 (四)如何避免这些漏洞 **  (1)避免反射** **   说明:反射是通过它
Java设计模式单例模式以及如何防止通过反射破坏单例模式
weixin_51311741的博客
12-22 1845
​ 什么是单例模式?保障一个类只能有一个对象(实例)的代码开发模式就叫单例模式​ 什么时候使用?工具类!(一种做法,所有的方法都是static,还有一种单例模式让工具类只有一个实例) 某类工厂(SqlSessionFactory)
如何防止单例模式JAVA 反射攻击
tyyking的博客
11-22 569
如何防止单例模式JAVA 反射攻击 package sf.com.singleton; public class Demo { private static boolean flag = true; private Demo() { System.out.println("flag==" + flag); } ...
Java单例模式(解决反射攻击,反序列化攻击)
weixin_45679480的博客
11-27 669
单例模式 什么是单例模式 单例模式就是确保类的实例对象只能有一个,类本身要实例化好这个对象提供给其他所有的类访问。单例模式就是为了避免状态不一致。 单例模式特定 单例类只能有一个实例。 单例类必须自己创建自己的唯一实例。 单例类必须给所有其他对象提供这一实例。 单例模式四大原则 1、构造私有 2、以静态方法或者枚举返回实例 3、确保实例只有一个,尤其是多线程环境 4、确保反序列换时不会重新构建对象 实现单例模式的方式 饿汉式(立即加载) 就是在类加载是就创建一个静态对象私有的对象实例,来提供给外部使用,除非
几招防范Java漏洞
weixin_33756418的博客
11-14 125
你的企业在使用Java平台吗?你可知道,Java平台很有可能会为病毒、木马大开方便之门。就如何防范最新的Java平台漏洞这一话题,本文为读者提供了一些参考方案。 作为一种得到广泛应用的编程语言,针对Java平台的攻击呈现出逐渐抬头的迹象。很多安全研究人员就此提出了自己的方法,以便用户保护自己的计算机,以防范针对Java平台的攻击。安全研究人员希望在甲骨文没有提供官方补丁的前提下,用户们能够通过这...
Java - 单例模式的几种实现, 以及反射反序列化漏洞
飞舞天漄
06-09 185
单例模式的几种实现 package singleton; /** * 单例模式 - 饿汉式 * 特点: 立即加载,调用时效率高 * 原理: 声明为static的变量在类加载时即初始化,jvm加载类不会发生并发问题 * 缺点: 如果不需要用到该类,将造成资源浪费 */ public class SingletonDemo1 { private static SingletonDemo...
单例模式详解(解决反射反序列化问题)
GaoChenXi
08-10 1435
1.饿汉式: package singleton; public class Demo01 { private static Demo01 d=new Demo01(); private Demo01(){ } public static Demo01 getInstance(){ return d; } } 2.懒汉式: package singleton;
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值