为什么要禁用JDK序列化

最新推荐文章于 2022-09-17 15:32:27 发布
最新推荐文章于 2022-09-17 15:32:27 发布
阅读量177 收藏
点赞数
分类专栏: 面试题 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mhhhb/article/details/120817372
版权

什么是序列化

在软件中, 一个项目的对象数据存放在内存中, 要经过一个过程的转换, 这个转换就是序列化和反序列化. 所以序列化就是将对象转换为数据, 反序列化就是将数据转换为对象.

JDK序列化有哪些问题

  • Java自带序列化只能被Java反序列化
    不同编程语言间就无法使用

  • Java序列化有安全问题
    使用Java序列化的代码
    Java官网的安全编码指导方针中有说明: “对不信任数据的反序列化, 从本质上来说就是危险的, 应该予以避免。”, 说明Java序列化是不安全的

//使用Java序列化只需要在类继承Serializable
public class Demo implements Serializable {
	private String value;
}


ByteArrayOutputStream os = new ByteArrayOutputStream();
    ObjectOutputStream out;
    {
        try {
            out = new ObjectOutputStream(os);
            out.writeObject(new Demo("one"));
            out.flush();
            out.close();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
  • Java序列化执行速度低于JSON序列化
    注: Java序列化与NIO ByteBuffer序列化本质上没有巨大差别

替代方案
首先是JSON序列化.

  • Spring Boot内置Jackson的JSON序列化
  • Dubbo内置的hessian(改)序列化方案
  • Goole的Protocol Buffers序列化
mhhhb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FST:快速Java序列的替代品
08-06
在Java开发中,序列是一个常见的需求,它允许将对象的状态转换为字节流,以便于存储或网络传输。标准的Java序列虽然方便,但在处理大量数据时,性能往往成为瓶颈。这时,FST(Fast Serialization Toolkit)作为...
WebLogic_EXP.jar WebLogic反序列利用工具
10-31
为了保护WebLogic服务器,管理员应该及时更新服务器到最新安全补丁,用不必要的服务和协议,限制网络访问,以及使用安全的序列库。此外,进行定期的安全审计和渗透测试也是必要的,以发现并修复潜在的漏洞。 总...
为什么不建议使用 Java 自带的序列
Java技术栈,分享最主流的Java技术
06-06 241
点击关注公众号,Java干货及时送达作者:rickiyang出处:www.cnblogs.com/rickiyang/p/11074232.html谈到序列我们自然想到 Java 提供的...
IT老齐架构300讲笔记(037) 为什么软件设计时要JDK序列
panjianlongWUHAN的专栏
01-17 182
不同语言的微服务项目进行交互,需使用JSON数据,非Java项目无法反序列JDK序列二进制流
【Java编程性能调优】避免使用Java序列
ChinaLiaoTian的博客
02-18 233
什么是 Java 序列? Java 提供了一种序列机制,这种机制能够将一个对象序列为二进制形式(字节数组),用于写入磁盘或输出到网络,同时也能从网络或磁盘中读取字节数组,反序列成对象,在程序中使用。 Java 序列的缺陷 无法跨语言 易被攻击 序列后的流太大 序列性能太差 替换 Java 序列 目前业内优秀的序列框架有很多,而且大部分都避免了 Java 默认序列的一些缺陷。例如,最近几年比较流行的 FastJson、Kryo、Protobuf、Hessian 等。完全可以找一种替换掉
为什么要序列
做事要专心
12-07 1021
在日常项目中,我们经常都会和序列三个字打交道。常用的各种库和语言都集成了序列的功能。 c++  的Boost库 java ,c# 都实现了此功能,程序设计者只需要调用接口选择要序列的数据即可序列序列,将内存中的数据转为二进制数据存储进本地。 那么问题就来了: 对象在内存中的数据本来就是二进制的啊!我们直接拷贝对象对象在内存中的数据写入本地磁盘即可啊。那为什么我
Java中的默认序列存在安全问题如何解决?
solo的博客
11-10 1308
Java中的默认序列是存在一些安全问题的,例如对象序列以后的字节通过网络传输,有可能在网络中被截取。那如何保证数据安全呢?通常可以在对象序列时对对象内容进行加密,对象反序列时对内容进行解密。 具体实现过程分析: 在序列对象中添加writeObject(ObjectOutpuStream out)方法对内容进行加密再执行序列。 在序列对象中添加readObject(ObjectI...
jdk1.8.0_181.tar.gz
05-21
4. **流(Stream API)**:流API允许对集合进行声明式处理,提供了一种序列操作数据的新方式,支持并行处理,非常适合大数据和并发操作。 5. **日期和时间API(java.time)**:Java 8对日期和时间处理进行了彻底...
JDK17-java-remote-method-invocation-api-guide.pdf
08-08
6. 代码库限制:确保java.rmi.server.useCodebaseOnly属性的值为True,以用远程代码加载,提高系统的安全性。 7. SSL/TLS加密:使用SSL/TLS协议来加密RMI通信,保护数据的安全。 Java RMI的架构 Java RMI的架构...
JDK12-java-remote-method-invocation-api-guide.pdf
08-08
RMI使用对象序列来 marshal 和 unmarshal 参数,不会截断类型,支持真正的面向对象的多态性。然而,RMI应用程序也存在着安全风险,本指南将提供一些安全建议来保护RMI应用程序。 RMI安全建议 1. 序列过滤:...
我见过最“骚”的代码注释!神兽版都来了
程序员小乐
05-26 444
点击上方 "编程技术圈"关注,星标或置顶一起成长后台回复“大礼包”有惊喜礼包!每日英文Sometimes you have to accept the fact that...
java 中序列的作用和好处及其反序列
qq_42809504的博客
10-04 980
一、序列和反序列的概念   把对象转换为字节序列的过程称为对象的序列。   把字节序列恢复为对象的过程称为对象的反序列。   对象的序列主要有两种用途:   1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;   2) 在网络上传送对象的字节序列。   在很多应用中,需要对某些对象进行序列,让它们离开内存空间,入住物理硬盘,以便长期保存。比如最常见的是Web服务器中的...
为什么我不建议你使用Java序列
qq_38862257的博客
11-04 944
作为一名Java开发,我为什么建议你在日常开发中避免使用Java序列? 如今大部分的后端服务都是基于微服务架构实现的,服务按照业务划分被拆分,实现了服务的解耦,同时也带来了一些新的问题,比如不同业务之间的通信需要通过接口实现调用。两个服务之间要共享一个数据对象,就需要从对象转换成二进制流,通过网络传输,传送到对方服务,再转换成对象,供服务方法调用。这个编码和解码的过程我们称之为序列和反序列。 在高并发系统中,序列的速度快慢,会影响请求的响应时间,序列后的传输数据体积大,会导致网络吞吐量下降,所以,
序列与反序列
TiankkTT的博客
09-17 577
Java序列是指把Java对象转换为字节序列的过程;而Java反序列是指把字节序列恢复为Java对象的过程。序列分为两大部分:序列和反序列序列是这个过程的第一部分,将数据分解成字节流,以便存储在文件中或在网络上传输。反序列就是打开字节流并重构对象。对象序列不仅要将基本数据类型转换成字节表示,有时还要恢复数据。恢复数据要求有恢复数据的对象实例。
Java 中的序列安全漏洞梳理
Firstlucky77的博客
05-27 684
背景 现阶段公司会进行季度的安全巡检,扫描出来的 Java 相关漏洞,无论是远程代码执行、还是 JNDI 注入,基本都和 Java 的序列机制有关。本文简单梳理了一下序列机制相关知识,解释为什么这么多漏洞都和 Java 的序列有关,以及后续怎么避免这些安全漏洞,减少版本升级工作量。同时能基于本文的知识,在看到序列漏洞后,简单评估该漏洞对自身应用的影响。 为什么需要序列 序列主要是提供了一种机制,方便数据在网络之间进行传输,或者独立于程序存储在本地磁盘。 序列的使用场景很广,比如服务器收
2020-10-25
qq_32902741的博客
10-25 288
java序列,看这篇就够了 一、序列的含义、意义及使用场景 序列:将对象写入到IO流中 反序列:从IO流中恢复对象 意义:序列机制允许将实现序列的Java对象转换位字节序列,这些字节序列可以保存在磁盘上,或通过网络传输,以达到以后恢复成原来的对象。序列机制使得对象可以脱离程序的运行而独立存在。 使用场景:所有可在网络上传输的对象都必须是可序列的,比如RMI(remote method invoke,即远程方法调用),传入的参数或返回的对象都是可序列的,否则会出错;所有需要保.
为什么需要序列总结
夜空中最亮的星
02-16 807
此处大纲: 1、什么叫序列 2、为什么需要序列 3、序列过程 4、序列的实现 5、JavaBean被序列的内容 ...
什么是序列,为什么要序列
热门推荐
Bob的博客
04-18 4万+
转自:网络--(忘记从哪看到的了) 整理:Bob 在学习分布式计算的时候,老师上课提到序列这个概念。当时有些懵逼,不知道 什么是序列,下来查了一下,原来在Java里面,序列就是和Serializable接口相关的 东西。 以下是我从网上找到的关于,什么是序列,为什么要序列解释的比较好的一篇博文。 ================================
java 默认序列_防止Java序列设置默认值
weixin_34138102的博客
02-25 924
序列并未设置默认值,而是将其默认值设置为Java的默认值初始方案。如果我可以总结你的问题。您希望序列序列流中的内容与内存中的值合并。对于Java序列来说这是不可能的,因为它控制着要创建的对象。您可以读取序列对象,然后手动编写代码以合并要合并的字段。如果你坚持使用Java序列(如果我是你,我会避开它),但是让我们假设你想继续使用它。public class MyObject {pub...
jdk11序列jdk8不同
最新发布
09-11
而在引用中解释了为什么需要使用序列,主要原因是对象可以在进程之间传输、网络通信时传输以及持久对象时需要将对象序列。对于测试用例,引用提供了一个示例代码,展示了如何将对象序列到本地文件中并进行反...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值