反序列化炸弹

序列化(构造炸弹)

public void serializable() throws IOException {
       Set<Object> root = new HashSet<>();
       Set<Object> s1 = root;
       Set<Object> s2 = new HashSet<>();
       for (int i = 0; i < 100; i++) {
           Set<Object> t1 = new HashSet<>();
           Set<Object> t2 = new HashSet<>();
           t1.add("foo"); // Make t1 unequal to t2
           s1.add(t1);  s1.add(t2);
           s2.add(t1);  s2.add(t2);
           s1 = t1;
           s2 = t2;
		}

        String filePath="/Users/apple/Desktop/object";
        try(ObjectOutputStream objectOutputStream=new ObjectOutputStream(new FileOutputStream(filePath));){
            objectOutputStream.writeObject(root);
        }
    }

先构建一个根节点root,里面存放两个set引用,每个set再存放两个新的set的引用,以此类推,循环100次。
每个节点包含至多3个元素,层次结构大致是一棵树,树的深度为101。共创建201个对象。
在这里插入图片描述

反序列化(引爆)

public void deserializable() throws IOException, ClassNotFoundException {
	String filePath="/Users/apple/Desktop/object";
    try(ObjectInputStream inputStream=new ObjectInputStream(new FileInputStream(filePath))) {
        Set<Object> set=(Set<Object>) inputStream.readObject();
    }
}

执行这段代码的后果是什么呢?它会一直运行,不会报错。执行次数与树的深度成指数关系,
所以深度为100,大概有 2 100 2^{100} 2100次执行。

原理解释

201个对象,序列化以后就5744个字节,为啥反序列化会执行那么多次?

HashSet 重写了readObject()方法

关键是这段逻辑,众所周知,HashSet 底层使用HashMap实现的

// Read in all elements in the proper order.
for (int i=0; i<size; i++) {
    @SuppressWarnings("unchecked")
        E e = (E) s.readObject();
    map.put(e, PRESENT);
}

所以调用链为

public V put(K key, V value) {
    return putVal(hash(key), key, value, false, true);
}

static final int hash(Object key) {
    int h;
    return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}

hash()里的key是HashSet,继承了AbstractSet的hashCode()方法。
可以看出计算当前对象的hashCode 需要对其所有元素进行累加,
而其元素又是set集合,递归调用。

public int hashCode() {
    int h = 0;
    Iterator<E> i = iterator();
    while (i.hasNext()) {
        E obj = i.next();
        if (obj != null)
            h += obj.hashCode();
    }
    return h;
}

使用建议

上述例子源自于《effective java》(google 首席架构师所著,必看)。
正如书里建议的那样。

尽可能的不用java序列化,优先考虑json和protocal buffers
如果不得不用

永远不要反序列化不被信任的数据
如果不得不反序列化

就要使用反序列化过滤,java9新增的 object deserilization filtering,这一功能已
移植到ObjectInputFilter

  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Unity中的序列化(Serialization)是指将对象转换为字节流的过程,而反序列化Deserialization)则是将字节流转换为对象的过程。Unity提供了一些机制来实现对象的序列化反序列化。 Unity的序列化机制主要用于保存和加载游戏对象的状态,或者在网络传输中传递对象。以下是一些常见的序列化反序列化方法: 1. Unity的内置序列化:Unity提供了内置的序列化机制,使得你可以将脚本中的变量标记为可序列化。通过在变量前面添加 `[SerializeField]` 属性,可以将该变量标记为可序列化。例如: ```csharp [SerializeField] private int score; ``` 2. XML 和 JSON 序列化:Unity还支持使用XML或JSON格式进行序列化反序列化。你可以使用 `System.Xml.Serialization` 命名空间下的类来进行XML的序列化反序列化,或者使用JsonUtility类来进行JSON的序列化反序列化。 ```csharp // XML序列化反序列化示例 using System.Xml.Serialization; // 序列化为XML XmlSerializer serializer = new XmlSerializer(typeof(MyClass)); using (StreamWriter writer = new StreamWriter("data.xml")) { serializer.Serialize(writer, myObject); } // 从XML反序列化 using (StreamReader reader = new StreamReader("data.xml")) { MyClass myObject = (MyClass)serializer.Deserialize(reader); } // JSON序列化反序列化示例 using UnityEngine; using UnityEngine.Networking; // 序列化为JSON string json = JsonUtility.ToJson(myObject); // 从JSON反序列化 MyClass myObject = JsonUtility.FromJson<MyClass>(json); ``` 3. 二进制序列化:如果需要更高效的序列化反序列化操作,可以使用二进制格式。Unity提供了BinaryFormatter类来进行二进制的序列化反序列化。 ```csharp // 二进制序列化反序列化示例 using System.Runtime.Serialization.Formatters.Binary; // 序列化为二进制 BinaryFormatter formatter = new BinaryFormatter(); using (FileStream stream = new FileStream("data.bin", FileMode.Create)) { formatter.Serialize(stream, myObject); } // 从二进制反序列化 using (FileStream stream = new FileStream("data.bin", FileMode.Open)) { MyClass myObject = (MyClass)formatter.Deserialize(stream); } ``` 这些是Unity中常用的序列化反序列化方法,你可以根据具体的需求选择适合的方法来实现对象的序列化反序列化

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值