jvm注解 @CallerSensitive的用处

最新推荐文章于 2024-06-16 21:34:28 发布
最新推荐文章于 2024-06-16 21:34:28 发布
阅读量2.7k 收藏 3
点赞数 1
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lcmlx1242/article/details/82142177
版权

这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限,原理是当时反射只检查固定深度的调用者的类,看它有没有特权,例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够权限群访问某些信息,那我就可以通过双重反射去达到目的:反射相关的类是有很高权限的,而在 我->反射1->反射2 这样的调用链上,反射2检查权限时看到的是反射1的类,这就被欺骗了,导致安全漏洞。使用CallerSensitive后,getCallerClass不再用固定深度去寻找actual caller(“我”),而是把所有跟反射相关的接口方法都标注上CallerSensitive,搜索时凡看到该注解都直接跳过,这样就有效解决了前面举例的问题

lcmlx1242
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
扒一扒@CallerSensitive注解,有点意思
Huangjiazhen711的博客
10-17 1163
因为 一旦变化 就是一个新的String对象,旧的对象不变。
Java 注解 CallerSensitive
weixin_34129696的博客
12-02 148
为什么80%的码农都做不了架构师?>>> ...
[Java]讲解@CallerSensitive注解
最新发布
进步*于辰的博客
06-16 1400
本篇文章阐述的这个注解起初是我在解析JDK源码时无意间发现的,虽然在日常工作中它的作用不是很大,但它进一步完善了我对类加载与ClassLoader类的掌握。 如果文中有不妥或不对的,多多交流。
@CallerSensitive 注解的作用
一叶知秋
09-05 866
如Reflection.getCallerClass()方法规定,调用它的对象,必须有 @CallerSensitive 注解,否则 报异常 Exception in thread "main" java.lang.InternalError: CallerSensitive annotation expected at。总结就是说 jdk内有些方法,jvm的开发者认为这些方法危险,不希望开发者调用,就把这种危险的方法用 @CallerSensitive修饰,并在“jvm”级别检查。
@CallerSensitive
zhou920786312的博客
09-28 744
CallerSensitive学习 代码位置(Reflection类) public class Reflection { @CallerSensitive public static native Class<?> getCallerClass(); 权限 Reflection.getCallerClass()此方法的调用者必须有权限 由bootstrap class loa...
@CallerSensitive注解
WTL的博客
05-09 3833
具体的理解请参考:https://blog.csdn.net/HEL_WOR/article/details/50199797。下面是我自己的理解:下面就是Class.forName的定义,学过java的应该都用过这个方法。 @CallerSensitive public static Class&lt;?&gt; forName(String className) ...
教你一文搞懂Kotlin中的Jvm注解
01-20
在Kotlin编程语言中,注解(Annotation)是一种元数据,可以为编译器或运行时环境提供额外的信息。在与Java互操作时,Kotlin提供了特定的注解来优化Java与Kotlin之间的通信。本文将详细介绍三个主要的注解:`@...
Qcon2011杭州-莫枢(RednaxelaFX)演讲-JVM@Taobao
08-21
JVM的性能优化过程中,莫枢可能强调了持续学习和跟踪JVM最新发展的重要性,因为JVM的改进和新特性往往能带来性能的飞跃。例如,G1垃圾收集器的引入,为大型系统提供了更高效的空间利用率和更低的暂停时间。 总结...
JVM指令手册详细完整版.pdf
10-23
每个系列命令都有其特定的功能和用途,下面我们将逐一详细介绍每个系列命令的作用和用法。 一、未归类系列 未归类系列命令主要包括nop命令和aconst_null命令。nop命令的作用是啥都不做,而aconst_null命令的作用是...
SAP JVM 4.1 64 bits
06-20
SAP JVM 4.1 64位是一个专为SAP系统设计的Java虚拟机,它主要用于运行SAP的应用程序和服务。此版本是为64位操作系统优化的,旨在提供更好的性能和内存管理能力,特别是在处理大数据量和复杂计算场景时。 首先,我们...
JDK8的@CallerSensitive
热门推荐
aguda_king的博客
05-17 1万+
在看java.lang.reflect.Proxy源码的时候看到有一行代码调用Reflection.getCallerClass(),这是个native方法,但这个方法上有个注解:@CallerSensitive,比较好奇,研究一下 权限 Reflection.getCallerClass()此方法的调用者必须有权限,需要什么样的权限呢? 由bootstrap class loader加载的类可以
@CallerSensitive 原理
码农架构
08-19 854
关注公众号:码农架构。 回复资料,领取小码哥最新整理的面试资料 权限 Reflection.getCallerClass()此方法的调用者必须有权限,需要什么样的权限呢? 由bootstrap class loader加载的类可以调用 由extension class loader加载的类可以调用 都知道用户路径的类加载都是由 application class loader进行加载的,换句话说就是用户自定义的一些类中无法调用此方法 作用 Reflection.getCallerCl.
偏门知识点
u013217730的博客
09-09 703
偏门知识点 Java相关 1、@CallerSensitive注解的作用是什么 这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限, 原理是当时反射只检查固定深度的调用者的类,看它有没有特权, 例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够 权限群访问某些信息,那我就可以通过双重反射去达到目的:反射相关 的类是有很高权限的,而在 我->反射1->反射2 这样的调用链上,反射2 检查权限时看到的是反射1的类,这就被欺骗了,导致安全漏洞。 使用Cal
JVM注解@CallSensitive
HEL_WOR的博客
12-06 1万+
转载请注明 http://blog.csdn.net/HEL_WOR/article/details/50199797 @CallSensitive是JVM中专用的注解,在类加载过过程中是可以常常看到这个注解的身影的。 这是在Sun.reflect中的定义:@Retention(RetentionPolicy.RUNTIME) @Target({ java.lang.annotation.Elem
sun.reflect.Reflection介绍以及@CallerSensitive注解
赶路人儿
11-23 3048
sun.reflect.Reflection 这个工具类是和反射相关的,我第一次见到这个方法是在java.sql.DriverManager中的getConnection方法中见到的: @CallerSensitive public static Connection getConnection(String url, String user, String password) throws SQLException { java.util.Properties info = n
Java进阶:@CallerSensitive详解
qq_28834355的博客
09-17 2055
前言 有一天在看Unsafe.getUnsafe()源码时,发现该方法上有@CallerSensitive注解。类似的比如Class.forName也有该注解。它们的源码分别如下: @CallerSensitive public static Unsafe getUnsafe() { Class var0 = Reflection.getCallerClass(); if (!VM.isSystemDomainLoader(var0.getClassLoader())) {
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值