JVM注解@CallSensitive

最新推荐文章于 2023-05-08 10:50:35 发布
最新推荐文章于 2023-05-08 10:50:35 发布
阅读量599 收藏
点赞数 1
分类专栏: java JVM 文章标签: JVM JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luoyoub/article/details/79998908
版权
java 同时被 2 个专栏收录
39 篇文章 0 订阅
订阅专栏
JVM
15 篇文章 0 订阅
订阅专栏

JVM注解@CallSensitive

@CallSensitive是JVM中专用的注解,在类加载过过程中是可以常常看到这个注解的身影的,@CallSensitive用来找到真正发起反射请求的类

@CallSensitive的使用

@CallerSensitive
public static Class<?> forName(String className)
throws ClassNotFoundException {
Class<?> caller = Reflection.getCallerClass();
return forName0(className, true, ClassLoader.getClassLoader(caller), caller);
}

注意:Reflection.getCallerClass()方法调用所在的方法必须用@CallerSensitive进行注解

这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限,原理是当时反射只检查固定深度的调用者的类,看它有没有特权,例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够权限群访问某些信息,那我就可以通过双重反射去达到目的:反射相关的类是有很高权限的,而在 我->反射1->反射2 这样的调用链上,反射2检查权限时看到的是反射1的类,这就被欺骗了,导致安全漏洞。使用CallerSensitive后,getCallerClass不再用固定深度去寻找actual caller(“我”),而是把所有跟反射相关的接口方法都标注上CallerSensitive,搜索时凡看到该注解都直接跳过,这样就有效解决了前面举例的问题

参考资料

https://blog.csdn.net/HEL_WOR/article/details/50199797

忧伤的比目鱼
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
教你一文搞懂Kotlin中的Jvm注解
01-20
JvmOverloads 创建一个kotlin的类 class Student(val name: String, val sex: Int = 1, val age: Int = 18) 可以看出来 这个构造函数的参数是有默认值的,kotlin的特性对吧,我们在使用的时候可以方便的使用,...
@CallerSensitive 注解的作用
【欢迎关注公众号:冬瓜白】
02-21 6486
java的 Class类forName方法上,有个CallerSensitive注解。 @CallerSensitive public static Class<?> forName(String className) throws ClassNotFoundException { Class<?> caller = Reflection.getCallerClass(); return forName0(className, true,
扒一扒@CallerSensitive注解,有点意思
Huangjiazhen711的博客
10-17 1128
因为 一旦变化 就是一个新的String对象,旧的对象不变。
@CallerSensitive
zhou920786312的博客
09-28 715
CallerSensitive学习 代码位置(Reflection类) public class Reflection { @CallerSensitive public static native Class<?> getCallerClass(); 权限 Reflection.getCallerClass()此方法的调用者必须有权限 由bootstrap class loa...
偏门知识点
u013217730的博客
09-09 639
偏门知识点 Java相关 1、@CallerSensitive注解的作用是什么 这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限, 原理是当时反射只检查固定深度的调用者的类,看它有没有特权, 例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够 权限群访问某些信息,那我就可以通过双重反射去达到目的:反射相关 的类是有很高权限的,而在 我->反射1->反射2 这样的调用链上,反射2 检查权限时看到的是反射1的类,这就被欺骗了,导致安全漏洞。 使用Cal
JVM定制改进@淘宝
10-26
一个PPT,讲述的是淘宝对Java虚拟机的定制应用
JVM介绍
02-25
JVMJavaVirtualMachine(Java虚拟机)的缩写,JVM是一种用于计算设备的规范,它是一个虚构出来的计算机,是通过在实际的计算机上仿真模拟各种计算机功能来实现的。Java虚拟机包括一套字节码指令集、一组寄存器、一...
尚硅谷jvm整理.md
07-14
尚硅谷jvm课件整理ppt
SAP JVM 4.1 64 bits
06-20
SAP JVM 4.1 64 bits
sun.reflect.Reflection介绍以及@CallerSensitive注解
赶路人儿
11-23 2937
sun.reflect.Reflection 这个工具类是和反射相关的,我第一次见到这个方法是在java.sql.DriverManager中的getConnection方法中见到的: @CallerSensitive public static Connection getConnection(String url, String user, String password) throws SQLException { java.util.Properties info = n
@SensitiveFormat基于注解的敏感词过滤功能
lycIT的博客
03-23 1595
基于注解的敏感词过滤功能 项目需要对用户发布的内容进行过滤,将其中的敏感词替换为 * 等特殊字符。大部分Web项目在处理这方面需求时都会选择过滤器( Filter ),在过滤器中将 Request 包上一层 Wrapper ,并重写其 getParameter 等方法,例如: public class SafeTextRequestWrapper extends HttpServletRe
Java基础5大机制——反射机制详解(一)
qq_37080455的博客
08-09 577
一、反射的概述 JAVA反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意一个方法和属性;这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。 要想解剖一个类,必须先要获取到该类的字节码文件对象。而解剖使用的就是Class类中的方法.所以先要获取到每一个字节码文件对应的Class类型的对象. 下面是详细说明: ...
Java进阶:@CallerSensitive详解
qq_28834355的博客
09-17 2024
前言 有一天在看Unsafe.getUnsafe()源码时,发现该方法上有@CallerSensitive注解。类似的比如Class.forName也有该注解。它们的源码分别如下: @CallerSensitive public static Unsafe getUnsafe() { Class var0 = Reflection.getCallerClass(); if (!VM.isSystemDomainLoader(var0.getClassLoader())) {
自学笔记(二) -- 反射 Reflection
ainaoi的博客
12-19 378
反射 前言: 作为Java学习的过程中最绕不开的就是反射了。反射的机制丰富了Java的语言的全面性,但是反射也是我认为Java中最难学的部分。 什么是反射? JAVA反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意方法和属性;这种动态获取信息以及动态调用对象方法的功能称为java语言的反射机制。 反射调用 实例化对象–>getClass()方法–>得到完整“包类”名称 正常调用 引入需要的“包类”名称–>通过new实例化–&gt
java 日志脱敏框架 sensitive-v0.0.4 系统内置常见注解,支持自定义注解
weixin_33861800的博客
01-18 206
项目介绍 日志脱敏是常见的安全需求。普通的基于工具类方法的方式,对代码的入侵性太强。编写起来又特别麻烦。 本项目提供基于注解的方式,并且内置了常见的脱敏方式,便于开发。 特性 基于注解的日志脱敏。 可以自定义策略实现,策略生效条件。 常见的脱敏内置方案。 java 深拷贝,且原始对象不用实现任何接口。 支持用户自定义注解。 自定义注解...
敏感词加解密与隐位处理
lsh2366254的博客
11-23 915
java敏感词隐位,加密存储,查询参数加密,查询结果解密
Java基础】学java注解,看这一篇文章就够了
最新发布
fumeidonga的博客
05-08 2445
注解是一种标记,使类或接口附加额外信息,帮助编译器和 JVM 完成一些特定功能。Annotation(注解)也被称为元数据(Metadata)是JDK1.5及以后版本引入的,用于修饰包、类、接口、字段、方法参数、局部变量等。如:常见的 @Override、@Deprecated和@SuppressWarnings其核心思想是java的ioc(inversion of control),也叫di(dependency injection,依赖注入),是一种面向对象编程中的设计模式。
@CallerSensitive 原理
码农架构
08-19 846
关注公众号:码农架构。 回复资料,领取小码哥最新整理的面试资料 权限 Reflection.getCallerClass()此方法的调用者必须有权限,需要什么样的权限呢? 由bootstrap class loader加载的类可以调用 由extension class loader加载的类可以调用 都知道用户路径的类加载都是由 application class loader进行加载的,换句话说就是用户自定义的一些类中无法调用此方法 作用 Reflection.getCallerCl.
kotlin @jvmstatic
04-01
The `@JvmStatic` annotation is used in Kotlin to generate a static method in Java bytecode. When a Kotlin object or companion object has a function marked with `@JvmStatic`, it can be called from Java...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值