Singleton单例模式-如何防止JAVA反射对单例类的攻击?

最新推荐文章于 2024-08-10 06:00:00 发布
最新推荐文章于 2024-08-10 06:00:00 发布
阅读量727 收藏
点赞数
分类专栏: java 文章标签: java singleton

 

在我的上篇随笔中,我们知道了创建单例类有以下几种方式:

(1).饿汉式

(2).懒汉式(、加同步锁的懒汉式、加双重校验锁的懒汉式、防止指令重排优化的懒汉式)

(3).登记式单例模式

(4).静态内部类单例模式

(5).枚举类型的单例模式

在上面的5种实现方式中,除了枚举类型外,其他的实现方式是可以被JAVA的反射机制给攻击的,即使他的构造方法是私有化的,

我们也可以做一下处理,从外部得到它的实例。

 

举例1:不经过处理的单例类被JAVA反射机制攻击

public class MyManger {

    private static  MyManger instance=new MyManger();

    private  MyManger() {

    }

    public static MyManger getInstance() {

        return instance;

    }

 

}

测试代码,发现返回结果"myManger!=myManger1"

public class MeTest {

    public static void main(String[] args) throws Exception {

        MyManger myManger = MyManger.getInstance();

 

        Constructor<?> constructor = MyManger.class.getDeclaredConstructor(null);

        constructor.setAccessible(true);

        MyManger myManger1 = (MyManger) constructor.newInstance();

 

        if (myManger == myManger1) {

            System.out.printf("myManger==myManger1");

        }else{

            System.out.printf("myManger!=myManger1");

        }

    }

}

 

 

举例2.经过处理的单例类,JAVA反射机制攻击测试

public class MyManger7 {

    //这里两行的顺序非常关键,当前行(public static boolean flag = false;)一定要在(private static MyManger7 instance = new MyManger7();)的前面

    //因为下面这一行new MyManger7()其中的构造器会修改flag的值,如果顺序被调整,new MyManger7()中修改过的值后来

    //又会被static boolean flag = false;覆盖,从而没有目的

    public static boolean flag = false;

    private static MyManger7 instance = new MyManger7();

 

    private MyManger7() {

        synchronized (MyManger7.class){

            if (flag == false) {

                flag = true;

            } else {

                throw new RuntimeException("正在遭受反射攻击");

            }

        }

 

    }

 

    public static MyManger7 getInstance() {

        return instance;

    }

}

测试代码和举例1一致,发现返回结果向外抛异常

Exception in thread "main" java.lang.reflect.InvocationTargetException

    at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)

    at sun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:39)

    at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:27)

    at java.lang.reflect.Constructor.newInstance(Constructor.java:513)

    at com.jd.o2o.lzc.MeTest7.main(MeTest7.java:11)

    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)

    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)

    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)

    at java.lang.reflect.Method.invoke(Method.java:597)

    at com.intellij.rt.execution.application.AppMain.main(AppMain.java:134)

Caused by: java.lang.RuntimeException: 正在遭受反射攻击

    at com.jd.o2o.lzc.MyManger7.<init>(MyManger7.java:15)

    ... 10 more

 

 

 

举例3:枚举类型的单例模式被JAVA反射机制攻击测试

public enum MyManger6 {

    INSTANCE;

    private  MyResource instance;

    MyManger6() {

        instance = new MyResource();

    }

    public  MyResource getInstance() {

        return instance;

    }

}

class MyResource {

    public void doMethod() {

        System.out.println("枚举类型的单例类资源");

    }

}

 

举例3:测试代码

public class MeTest6 {

    public static void main(String[] args) throws Exception {

 

        Constructor<?> constructor = MyManger6.class.getDeclaredConstructor(null);

        constructor.setAccessible(true);

        MyManger6 myManger1 = (MyManger6) constructor.newInstance();

 

        System.out.println("myManger1="+myManger1);

 

    }

}

举例3:测试结果,会发现枚举类是不允许使用反射来构造对象的

Exception in thread "main" java.lang.NoSuchMethodException: com.jd.o2o.lzc.MyManger6.<init>()

    at java.lang.Class.getConstructor0(Class.java:2706)

    at java.lang.Class.getDeclaredConstructor(Class.java:1985)

    at com.jd.o2o.lzc.MeTest6.main(MeTest6.java:8)

    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)

    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)

    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)

    at java.lang.reflect.Method.invoke(Method.java:597)

    at com.intellij.rt.execution.application.AppMain.main(AppMain.java:134)

 

下一篇:如何防止序列化攻击单例模式 https://blog.csdn.net/hl_java/article/details/71511839

 

参考文章:

https://www.cnblogs.com/ttylinux/p/6498822.html?utm_source=itdadao&utm_medium=referral

 

# 作者相关文章
[Singleton单例模式的几种创建方法](https://blog.csdn.net/hl_java/article/details/70148622)
[Singleton单例模式-如何防止JAVA反射对单例类的攻击?](https://blog.csdn.net/hl_java/article/details/71511839)
[Singleton单例模式-如何防止序列化对单例类的攻击?](https://blog.csdn.net/hl_java/article/details/87464951)
[Singleton单例模式-【懒汉式-加双重校验锁&防止指令重排序的懒汉式】实现方案中为什么需要加volatile关键字?](https://blog.csdn.net/hl_java/article/details/89160086)
 

 

明月(Alioo)
关注
专栏目录
防止反射攻击单例模式-siglton -摘自《effective java
极客栈
11-20 400
pubic class SigltonDemo{ private static final SigltonDemo SIGLTONDEMO = new SigltonDemo (); public static SigltonDemo getInstance() { return SIGLTONDEMO; } private SigltonDem
设计模-单例模式-注册单例模式-枚举单例模式和容器单例模式Java中的使用示例
BADAO_LIUMANG_QIZHI的博客
10-28 966
上面讲了单例模式的三种方,另外还有一种注册单例模式
Java设计模(一):单例模式防止反射和反序列化漏洞
Happy in Code
05-22 8479
一、懒汉单例模式,解决反射和反序列化漏洞 package com.iter.devbox.singleton; import java.io.ObjectStreamException; import java.io.Serializable; /** * 懒汉(如何防止反射和反序列化漏洞) * @author Shearer * */ public class Singleto
单例模式防止反射和反序列化漏洞
ZEEGATES的博客
07-30 971
一、懒汉单例模式,解决反射和反序列化漏洞   package com.iter.devbox.singleton;   import java.io.ObjectStreamException; import java.io.Serializable;   /** * 懒汉(如何防止反射和反序列化漏洞) * @author Sh...
Java 反射机制(二)使用反射破坏单例,使用枚举加强单例
阿凯的专栏
01-11 1502
本文介绍了如何使用反射机制破坏传统的单例,以及如何使用Java的枚举创造出最简捷,最安全的单例反射的功能非常强大,普通的单例,将默认的无参构造方法私有化,但是利用反射机制任然可以实现对私有构造器的访问,实例化出多个对象。 1. 新建一个懒汉单例 SingleTonUtils.java /** * */ package com.jnk.think.java.chapt
如何防止单例模式JAVA反射攻击
Java开发-破曉
11-29 381
单例模式相信大家都知道,用过的人不在少数。之前写过一篇博文《singleton四种线程安全的实现》,讲诉了单例模式的四种写法,并指出占位符模的写法比较ok,详见如下:package com.effective.singleton; public class Elvis { private static boolean flag = false; priva...
singleton_单例模式_java_设计模_
10-03
单例模式是软件设计模中的一种经典模,它在Java编程中被广泛使用。这个模的主要目的是确保一个只有一个实例,并提供一个全局访问点。这样做的好处在于控制资源的共享,减少系统开销,以及在多线程环境中避免...
Java创建型设计模-单例模式
最新发布
欢迎拜读我的作品,喜欢的领域请给我留言
08-10 1842
好啦,以上就是关于java设计模单例模式详细介绍,整理出八种初始化方及其利弊分析,最佳方推荐是3.4章节的线程安全单例
JAVA反射机制与单例模式
06-09
Java反射机制是Java编程语言中的一个强大特性,它允许程序在运行时检查和操作、接口、对象等的内部信息,包括但不限于名、方法名、参数型等。这一机制的核心在于`java.lang.reflect`包中的,如`Class`, `...
单例模式-----<ant求职记之设计模>
03-17
单例模式是软件设计模中的一种经典模,它确保一个只有一个实例,并提供一个全局访问点。在Java或C#等面向对象的语言中,单例模式广泛用于控制资源的共享,比如数据库连接、线程池或者配置文件的读取等。这种...
枚举单例模式如何防止反射攻击
01-04 918
关于单例模式,相信大家都所有了解,比较经典的实现有饿汉、借助内部、双重锁检测,这些实现可以保证线程安全,但是在某些特殊情况下并不能够保证仅仅只有一个单例,因为像序列化、反射攻击等往往可以生成新的实例对象,本文将重点分析枚举单例模式如何防止反射攻击。 枚举单例: public enum Singleton { INSTANCE { @Override
单例模式防止攻击(反射攻击)
msy7788的博客
10-25 1602
这几天看了几篇java单例模式,以前也看过很多java单例的创建什么的,也知道怎么创建这些单例,比如懒汉啊、饿汉啊、枚举啊什么的,但是一直就是不明白为什么单例就是安全的,为什么懒汉和饿汉就没有枚举安全? 直到这几天看点儿多线程的东西才发现,多线程里面要求全局变量是固定的,不可变得(为什么?)。举个例子:买票的时候,有三个窗口,同时去卖票。这三个窗口的售票员都要从统一的地方去取票,这统一的地方其...
Java(通过反射获取方法并使用)
路漫漫其修远兮,吾将上下而求索
07-16 6142
package com.sanmao10;import java.lang.reflect.Constructor; import java.lang.reflect.Method;public class test_method { /** * 反射(通过反射获取方法并使用) * Method * Class.getMethod(String, Class..
单例模式 静态内部 解决反射得到多个对象
qq_25497867的博客
12-05 1834
首先这里就不说单例模式的饿汉懒汉了,如果需要请百度 比饿汉懒汉好一点的是静态内部单例 这里贴出代码 package com.test; public class SimpleTest { private static class SimpleNB { private static final SimpleTest INSTANCE = new Simp
java 防止反射_解决反射型XSS漏洞攻击
weixin_29777019的博客
02-25 3220
对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台。一、首先从前端考虑过滤一些非法字符。前端的主控js中,在 输入框标签中,找到点击发送按钮后,追加到聊天panel前 进行过滤input输入内容1 // 过滤xss反射型漏洞2 filterinputtxt: function (html) {3 html = html.repl...
java 防止反射_Java 反射机制详解
weixin_35626356的博客
02-25 1038
动态语言动态语言,是指程序在运行时可以改变其结构:新的函数可以被引进,已有的函数可以被删除等在结构上的变化。比如众所周知的ECMAScript(JavaScript)便是一个动态语言。除此之外如Ruby、Python等也都属于动态语言,而C、C++等语言则不属于动态语言。(引自: 百度百科)varexecString="alert(Math.floor(Math.random()*10));...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值