如何防止单例模式被JAVA反射攻击

最新推荐文章于 2024-05-11 16:15:00 发布
最新推荐文章于 2024-05-11 16:15:00 发布
阅读量1.8w 收藏 26
点赞数 6
分类专栏: java 设计模式 JAVA相关技术 文章标签: singleton java 反射
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013256816/article/details/50525335
版权
java 同时被 3 个专栏收录
134 篇文章 16 订阅
订阅专栏
JAVA相关技术
55 篇文章 65 订阅
订阅专栏
设计模式
26 篇文章 19 订阅
订阅专栏 
欢迎支持笔者新作:《深入理解Kafka:核心设计与实践原理》和《RabbitMQ实战指南》,同时欢迎关注笔者的微信公众号:朱小厮的博客。

欢迎跳转到本文的原文链接:https://honeypps.com/java/how-to-prevent-singleton-from-reflect/

    单例模式相信大家都知道,用过的人不在少数。之前写过一篇博文《singleton模式四种线程安全的实现》(参见:http://blog.csdn.net/u013256816/article/details/50427061),讲诉了单例模式的四种写法,并指出占位符模式的写法比较ok,详见如下:

 

package com.effective.singleton;

public class Elvis
{
    private static boolean flag = false;

    private Elvis(){
    }

    private  static class SingletonHolder{
        private static final Elvis INSTANCE = new Elvis();
    }

    public static Elvis getInstance()
    {
        return SingletonHolder.INSTANCE;
    }

    public void doSomethingElse()
    {

    }
}

    但这都是基于一个条件:确保不会通过反射机制调用私有的构造器。
    这里举个例子,通过JAVA的反射机制来“攻击”单例模式:

package com.effective.singleton;

import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;

public class ElvisReflectAttack
{

    public static void main(String[] args) throws InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException, NoSuchMethodException, SecurityException
    {
        Class<?> classType = Elvis.class;

        Constructor<?> c = classType.getDeclaredConstructor(null);
        c.setAccessible(true);
        Elvis e1 = (Elvis)c.newInstance();
        Elvis e2 = Elvis.getInstance();
        System.out.println(e1==e2);
    }

}

   运行结果:false
   可以看到,通过反射获取构造函数,然后调用setAccessible(true)就可以调用私有的构造函数,所有e1和e2是两个不同的对象。
   如果要抵御这种攻击,可以修改构造器,让它在被要求创建第二个实例的时候抛出异常。
   经修改后:

package com.effective.singleton;

public class ElvisModified
{
    private static boolean flag = false;

    private ElvisModified(){
        synchronized(ElvisModified.class)
        {
            if(flag == false)
            {
                flag = !flag;
            }
            else
            {
                throw new RuntimeException("单例模式被侵犯!");
            }
        }
    }

    private  static class SingletonHolder{
        private static final ElvisModified INSTANCE = new ElvisModified();
    }

    public static ElvisModified getInstance()
    {
        return SingletonHolder.INSTANCE;
    }

    public void doSomethingElse()
    {

    }
}

    测试代码:

package com.effective.singleton;

import java.lang.reflect.Constructor;

public class ElvisModifiedReflectAttack
{

    public static void main(String[] args)
    {
        try
        {
            Class<ElvisModified> classType = ElvisModified.class;

            Constructor<ElvisModified> c = classType.getDeclaredConstructor(null);
            c.setAccessible(true);
            ElvisModified e1 = (ElvisModified)c.newInstance();
            ElvisModified e2 = ElvisModified.getInstance();
            System.out.println(e1==e2);
        }
        catch (Exception e)
        {
            e.printStackTrace();
        }
    }
}

    运行结果:

Exception in thread "main" java.lang.ExceptionInInitializerError
    at com.effective.singleton.ElvisModified.getInstance(ElvisModified.java:27)
    at com.effective.singleton.ElvisModifiedReflectAttack.main(ElvisModifiedReflectAttack.java:17)
Caused by: java.lang.RuntimeException: 单例模式被侵犯!
    at com.effective.singleton.ElvisModified.<init>(ElvisModified.java:16)
    at com.effective.singleton.ElvisModified.<init>(ElvisModified.java:7)
    at com.effective.singleton.ElvisModified$SingletonHolder.<clinit>(ElvisModified.java:22)
    ... 2 more

    可以看到,成功的阻止了单例模式被破坏。
    从JDK1.5开始,实现Singleton还有新的写法,只需编写一个包含单个元素的枚举类型。推荐写法:

package com.effective.singleton;

public enum SingletonClass
{
    INSTANCE;

    public void test()
    {
        System.out.println("The Test!");
    }
}

    测试代码:

package com.effective;

import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;

import com.effective.singleton.SingletonClass;

public class TestMain
{

    public static void main(String[] args) throws NoSuchMethodException, SecurityException, InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException
    {
        Class<SingletonClass> classType = SingletonClass.class;
        Constructor<SingletonClass> c = (Constructor<SingletonClass>) classType.getDeclaredConstructor();
        c.setAccessible(true);
        c.newInstance();
    }
}

    运行结果:

Exception in thread "main" java.lang.NoSuchMethodException: com.effective.singleton.SingletonClass.<init>()
    at java.lang.Class.getConstructor0(Unknown Source)
    at java.lang.Class.getDeclaredConstructor(Unknown Source)
    at com.effective.TestMain.main(TestMain.java:22)

    由此可见这种写法也可以防止单例模式被“攻击”。
    而且这种写法也可以防止序列化破坏单例模式,具体不在举例了,有关序列化以及单例模式被序列化破坏可以参考博文《JAVA序列化》(链接:http://blog.csdn.net/u013256816/article/details/50474678)。
    单元素的枚举类型已经成为实现Singleton模式的最佳方法。

欢迎跳转到本文的原文链接:https://honeypps.com/java/how-to-prevent-singleton-from-reflect/

欢迎支持笔者新作:《深入理解Kafka:核心设计与实践原理》和《RabbitMQ实战指南》,同时欢迎关注笔者的微信公众号:朱小厮的博客。

朱小厮
关注
  • 6
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 19
    评论
专栏目录
防止单例模式反射单例模式破坏
行走巨人国
04-27 2181
反射破坏单例: 单例模式一般构造方法都是private,目的就是为了防止外界调用私有构造器创建多个实例,通过一个public的共有方法作为外界获取实例的唯一入口。从而实现单例。 但是反射能够访问私有的构造方法,只要反射获取的构造器调用setAccessible(true)方法即可。这样调用一次就会产生一个实例,调用多次就时多个实例,从而破坏单例。 如何防止: 只要在单例的私有构造器中添加判...
Java基础-单例防反射
MatrixMind的博客
03-26 536
1.单例的优势 单例模式Singleton Pattern)是 Java 中创建型模式中最简单的设计模式,它提供了一种创建对象和访问对象以及减少资源重复创建的极佳的方式。 这种模式涉及到一个单一的或者单一的内部,该负责创建同时确保只有该的唯一对象被创建。这个提供了以名访问该对象的访问方式。 既然单例模式这么多优点那么我们怎么设计单例模式呢。 1.我们需要知道对象的创建有哪几种方式: new一个对象,反射newinstance(), 反序列化ObjectInputStream() 2
【网络安全】七个最常见的黑客攻击技术,98%的人都遇到过(通俗易懂版)
最新发布
2302_76672693的博客
05-11 1039
【网络安全】七个最常见的黑客攻击技术,98%的人都遇到过(通俗易懂版)
Java安全 | 反射看这一篇就够了
weixin_68320784的博客
04-07 411
什么是反射? Java安全可以从反序列化漏洞说起,反序列化漏洞又可以从反射说起。反射是大多数语言里都必不可少的组成部分,对象可以通过反射获取他的可以通过反射拿到所有⽅法(包括私有),拿到的⽅法可以调⽤,总之通过“反射”,我们可以将Java这种静态语⾔附加上动态特性。可能说完这一两句话大家还是不知道反射是个啥玩意,现在为了让大家容易理解,先为大家提出一个需求,通过这个需要来引出反射。需求如下: 根据配置文件re.properties指定信息,创建对象并调用方法。 classfullpath=co
jdk 11 非法反射警告的处理
cuiasp的博客
12-23 4285
deny:禁止所有的非法访问除了使用特别的命令行参数排除的模块,比如使用--add-opens排除某些模块使其能够通过非法反射访问。任何剩余的非法访问错误很可能是由于从编译代码到 JDK 内部 API 的静态引用。permit:默认值,允许通过反射访问,因此会提示像上面一样的警告,这个是首次非法访问警告,后续不警告。出于性能原因,当前的 JDK 不会对非法静态访问操作发出警告。要验证您的应用程序是否已为 JDK 的未来版本做好准备,请将它。2.启动,增加忽略非法反射警告的办法。3.配置JVM 的参数。
单例模式如何防止反射攻击
m0_50654102的博客
06-03 787
单例模式例子: public class Single { private Single () {//私有化构造方法 } private static volatile Single instance = null; public static synchronized Single getInstance() { if(instance==null){ instance = new Single();//在此方法内创建对象
单例模式的实现方式及如何有效防止防止反射和反序列化
feelinghappy的专栏
08-23 1044
方式一:饿汉式(静态常量) public class Singleton { private final static Singleton SINGLETON = new Singleton(); private Singleton(){ } public void doAction(){ //TODO 实现你需要做的事 } public static Singleton getInstance(){
Java线程安全中的单例模式
09-03
在大多数情况下,枚举实现被认为是更推荐的选择,因为它在保证线程安全的同时,也提供了更好的封装性和防止反射攻击的能力。然而,如果对单例的使用有特殊需求,如需要延迟初始化或插件化,那么静态内部的实现方式...
java单例模式代码实例
12-14
这是Joshua Bloch在《Effective Java》中推荐的方式,既保证了线程安全,又防止反射攻击。 ```java public enum Singleton { INSTANCE; public void doSomething() { } } ``` 二、单例模式的优点 1. 节省...
单例模式简介和java代码实现
07-05
}枚举方式简洁、安全,避免了多线程问题,也防止反射攻击。不过,这种方式在某些场景下可能不适用,如需要序列化单例对象。 总结: 单例模式是软件设计中常用的一种模式,它的核心在于限制的实例化次数,保证全局...
Java单例模式实例简述
09-04
这是Effective Java作者Joshua Bloch推荐的实现方式,线程安全且防止反射攻击。 ```java public enum Singleton { INSTANCE; public void whateverMethod() { } } ``` 总结单例模式的核心特点: 1. 的构造...
Java单例模式实现的几种方式
09-01
6. 枚举(线程安全,防止反射攻击): 这是最安全且推荐的单例实现方式,Java枚举天然支持单例。 ```java public enum SingleTon6 { INSTANCE; public void print() { System.out.println("thread_id:" + ...
单例模式防止攻击(反射攻击)
msy7788的博客
10-25 1570
这几天看了几篇java单例模式,以前也看过很多java单例的创建什么的,也知道怎么创建这些单例,比如懒汉啊、饿汉啊、枚举啊什么的,但是一直就是不明白为什么单例就是安全的,为什么懒汉和饿汉就没有枚举安全? 直到这几天看点儿多线程的东西才发现,多线程里面要求全局变量是固定的,不可变得(为什么?)。举个例子:买票的时候,有三个窗口,同时去卖票。这三个窗口的售票员都要从统一的地方去取票,这统一的地方其...
java 反射 警告_Java的非法反射警告illegal reflective access operation
weixin_35348182的博客
02-16 7798
反射是一项相当强大的特性,不仅在各框架中被广泛应用,即使是在日常开发中我们也隔三差五得要和它打交道。然而在JDK9中JDK对反射加上了一些限制,需要注意。考虑有如下的代码:import java.lang.reflect.Field;import java.util.ArrayList;public class TestReflect {public static int getCapacity...
Java设计模式(一):单例模式防止反射和反序列化漏洞
Happy in Code
05-22 8411
一、懒汉式单例模式,解决反射和反序列化漏洞 package com.iter.devbox.singleton; import java.io.ObjectStreamException; import java.io.Serializable; /** * 懒汉式(如何防止反射和反序列化漏洞) * @author Shearer * */ public class Singleto
accessdeniedexception: 不允许访问_一招解决JDK9以上非法反射访问警告
weixin_39633452的博客
01-06 2517
如果觉得文章好看,欢迎点赞。同时欢迎关注微信公众号:氷泠之路。1 问题描述JDK9以上很多库都有这种非法反射访问的警告,比如protostuff:解决方法两个:JDK降级添加JVM参数2 原因降到JDK8能解决以上问题。但是这不是本文的重点。先说一下出现该警告的原因,笔者使用的JDK为OpenJDK 11,JDK9以上模块不能使用反射去访问非公有的成员/成员方法以及构造方法,除非模块标识...
java反射技术破坏单例模式
热门推荐
lws332969674的专栏
10-29 2万+
一、 Java中的反射技术可以获取的所有方法、成员变量、还能访问private的构造方法,这样一来,单例模式中用的私有构造函数被调用就会产生多个实例,编写代码测试一下。 package test; import java.lang.reflect.Constructor; public class SingetonTest { private static Singeton
java 防止反射_解决反射型XSS漏洞攻击
weixin_29777019的博客
02-25 3138
对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台。一、首先从前端考虑过滤一些非法字符。前端的主控js中,在 输入框标签中,找到点击发送按钮后,追加到聊天panel前 进行过滤input输入内容1 // 过滤xss反射型漏洞2 filterinputtxt: function (html) {3 html = html.repl...
java 单例模式实战
04-29
单例模式是一种用于创建只允许存在一个实例的的设计模式。在Java中,要实现单例模式可以采用不同的方式,包括懒汉式单例模式、饿汉式单例模式、枚举单例模式等。 懒汉式单例模式是指只有在需要实例对象时才进行创建,并且只创建一个实例对象。在这种方式中,需要采用同步锁来保证线程安全。懒汉式单例模式的优点在于只在需要时才创建,节省了内存空间。但是,在多线程环境中,需要考虑线程安全问题。 饿汉式单例模式是指在加载时就创建实例对象,并且只创建一个实例对象。在这种方式中,由于是在加载时就创建,因此无需考虑线程安全问题。但是,这种方式可能会浪费内存空间,因为在实例对象没有被使用时也会被创建。 枚举单例模式是一种比较新的实现单例模式的方式。在这种方式中,枚举成员固定且唯一,因此可以保证只有一个实例对象。枚举单例模式不仅实现简单,而且可以防止反射攻击和序列化/反序列化攻击。 在实际开发中,单例模式通常用于资源管理、配置文件管理等需要限制对象数量的场景。要注意避免过度使用单例模式,因为过度使用会导致代码耦合度增加、单元测试困难等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值