field.setAccessible(true);代码扫描有安全漏洞,解决方案

已于 2024-03-14 15:23:59 修改
阅读量1.1w 收藏 17
点赞数 5
分类专栏: java 文章标签: java
于 2020-08-18 16:08:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44293888/article/details/108080179
版权

AccessibleObject类是Field、Method和Constructor对象的基类,能够允许反射对象修改访问权限修饰符,绕过由Java访问修饰符提供的访问控制检查。它让程序员能够更改私有字段或调用私有方法,这在通常情况下是不允许的。
例如:以下代码片段中,将Field将accessible标记设置为true。

Class clazz = User.class;
Field field = clazz.getField("name");
field.setAccessible(true);
...

如果为false,则其中的私有字段不能够被访问到的,所以不可以注掉。

ReflectionUtils.makeAccessible(field);

用这个取代。

喜中喜相逢
关注
  • 5
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
反射避开field.setAccessible(true); field.set(t, lineArray[i]); 赋值
MyCsdn15的博客
03-28 3194
Reflection should not be used to increase accessibility of classes, methods, or fields
Java代码漏洞检测-常见漏洞与修复建议
晨港飞燕的专栏
11-19 5946
在工作中,我们的交付团队在交付项目时,可能遇到甲方使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们在项目上线前进行代码安全检测,通过了对方才发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
提高java反射速度的方法method.setAccessible(true)
热门推荐
Crazy Bird
07-20 2万+
java代码中,常常将一个类的成员变量置为private   在类的外面获取此类的私有成员变量的value时,需要注意:   测试类: public class AccessibleTest {          private int id;       private String name;          public Accessible
安全风险 - 如何解决 setAccessible(true) 带来的安全风险?
最新发布
Android、前端、小程序、后端
05-14 1218
可能每款成熟的金融app上架前都经过层层安全检测才能执行上架,所以我隔三差五就能看到安全检测报告中提到的问题,根据问题的不同级别,处理的优先级也有所不同,此次讲的主要是一个 “轻度问题” ,个人认为属于那种可改不可改的状态。
安扫提示field.setAccessible(true)漏洞问题(java Spring)
发呆中!
07-23 7223
代码安全扫描提示出field.setAccessible(true)漏洞问题: 提示: AccessibleObject类Field,Method和Constructor对象的基类,能够允许反射对象修改访问权修饰符,绕过由Java访问修饰符提供的访问控制检查,它让程序员能够更改私有字段或调用稀有方法,这在通常情况下是不允许的。 网上查到了在spring框架下的解决方案:ReflectionUtils.makeAccessible(field)(该方法是spring针对反射提供的工具类)。 ...
JAVA沙箱安全总结
个人积累
01-11 2048
1.概述  本文介绍了JAVA虚拟机一些安全基础,第四节介绍了两个非常著名的JAVA 0day,分析了cve-2012-0507 漏洞原理和jdk1.70day漏洞,这两个漏洞被广泛应用于浏览器挂马。第五节介绍了java大牛lxlzx对新浪云平台SAE的五次绕过。 Java从JDK 1.0开始实现了一套沙箱环境,主要应用于Applet,使远程的非可信代码只能在受限的环境下执行。Java沙箱
field.setAccessible(true)
闵浮龙的博客
06-08 1万+
Accessable属性是继承自AccessibleObject 类. 功能是启用或禁用安全检查 在反射对象中设置 accessible 标志允许具有足够特权的复杂应用程序(比如 Java Object Serialization 或其他持久性机制)以某种通常禁止使用的方式来操作对象。 setAccessible public void setAccessible(boolean flag) throws SecurityException 将此对象的 accessible 标志设置为指示的布尔值。值为 t
对象转Map
lhhsyl的专栏
11-15 222
/** * bean转换为属性map */ public static Map<String, Object> toPropertyMap(Object obj) { if (obj == null) { return null; } if(obj instanceof HashMap...
f.setAccessible(true)
如斯,如己
03-17 657
f.setAccessible(true);得作用就是让我们在用反射时访问私有变量
field.setAccessible(true)问题
cdliker的博客
06-30 1762
field.setAccessible(true)的作用就是能够正常的方位私有属性 但其实在使用field.getName(“fieldName”)访问私有属性时不设置field.setAccessible(true),不报错,真正报错的地方是field.get(对象) https://blog.csdn.net/qq1137623160/article/details/106615058 解决安全漏洞问题 https://blog.csdn.net/onemoster/article/detai.
setAccessible()方法是否破坏了Java的访问规则
01-08
一般情况下,我们并不能对类的私有字段进行操作,利用反射也不例外,但有的时候,例如要序列化的时候,我们又必须有能力去处理这些字段,这时候,我们就需要调用AccessibleObject上的setAccessible()方法来允许这种访问...
Java安全漫谈 - 03.反射篇(3)1
08-03
不恰当的反射使用可能引入命令注入、数据泄露或其他安全漏洞。因此,在开发过程中,应谨慎使用反射,并确保对敏感操作进行适当的权限控制和输入验证,以防止潜在的安全风险。同时,对于可能暴露给恶意用户的API,...
JDK8中sun.misc下UnSafe类源代码 UnSafe.java
05-23
theUnsafe.setAccessible(true); Unsafe unsafe = (Unsafe) theUnsafe.get(null); ``` 三、主要方法解析 1. **内存操作**:UnSafe提供了内存分配和释放的方法,如`allocateMemory(long size)`用于分配内存,`free...
java反射机制学习笔记
07-22
虽然反射提供了极大的灵活性,但其性能相比直接代码执行要低,因为反射操作需要额外的解析和安全检查。不过,在大多数情况下,反射的性能影响并不是性能瓶颈的主要原因。 六、反射的缺点 1. 性能问题:反射操作通常...
java代码-Accessible
07-15
Java安全环境中,如果安全管理器存在且不允许这种行为,`setAccessible(true)`可能抛出`SecurityException`。此外,过度使用反射可能对性能产生负面影响,因为它绕过了JVM的优化机制。 在实际开发中,`...
Java对List对象进行排序_.docx
10-09
Java编程中,对List对象进行排序是一个常见的需求,尤其是在处理数据集合时。Java提供了一个便捷的方法`Collections.sort()`,可以直接对实现...在保证代码安全的同时,应尽可能选择简洁、高效且易于维护的解决方案
单例模式的终结者——setAccessible(true)
达叔
11-02 1万+
先来看下“传统”的单例模式 package go.derek; public class Singleton{ public static int times; private Singleton(){ //构造器被调用的时候打印出次数 System.out.println("单例构造器被调用"+(++times)+"两次"); } private final sta
field.setAccessible(true)的作用
Hello world !!!
05-27 4172
field.setAccessible(true) 设置可以访问private变量的变量值 public class User { private String name; public User(String name) { this.name = name; } public String getName() { return name; } public void setName(String name) {
field.setaccessible(true);
03-16
field.setAccessible(true)的意思是设置该字段为可访问状态。在Java中,如果一个字段被声明为private或protected,那么默认情况下它是不可访问的。通过调用setAccessible(true)方法,可以强制访问该字段,即使它是私有的或受保护的。这通常用于反射操作,例如在运行时获取或修改私有字段的值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值