如何防止单例模式被JAVA反射攻击

最新推荐文章于 2022-08-31 12:59:01 发布
最新推荐文章于 2022-08-31 12:59:01 发布
阅读量974 收藏
点赞数
分类专栏: java_设计模式

 单例模式相信大家都知道,用过的人不在少数。之前写过一篇博文《singleton模式四种线程安全的实现》(参见:http://blog.csdn.net/u013256816/article/details/50427061),讲诉了单例模式的四种写法,并指出占位符模式的写法比较ok,详见如下:

[java]  view plain  copy
  1. package com.effective.singleton;  
  2.   
  3. public class Elvis  
  4. {  
  5.     private static boolean flag = false;  
  6.   
  7.     private Elvis(){  
  8.     }  
  9.   
  10.     private  static class SingletonHolder{  
  11.         private static final Elvis INSTANCE = new Elvis();  
  12.     }  
  13.   
  14.     public static Elvis getInstance()  
  15.     {  
  16.         return SingletonHolder.INSTANCE;  
  17.     }  
  18.   
  19.     public void doSomethingElse()  
  20.     {  
  21.   
  22.     }  
  23. }  
    但这都是基于一个条件:确保不会通过反射机制调用私有的构造器。
    这里举个例子,通过JAVA的反射机制来“攻击”单例模式:
[java]  view plain  copy
  1. package com.effective.singleton;  
  2.   
  3. import java.lang.reflect.Constructor;  
  4. import java.lang.reflect.InvocationTargetException;  
  5.   
  6. public class ElvisReflectAttack  
  7. {  
  8.   
  9.     public static void main(String[] args) throws InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException, NoSuchMethodException, SecurityException  
  10.     {  
  11.         Class<?> classType = Elvis.class;  
  12.   
  13.         Constructor<?> c = classType.getDeclaredConstructor(null);  
  14.         c.setAccessible(true);  
  15.         Elvis e1 = (Elvis)c.newInstance();  
  16.         Elvis e2 = Elvis.getInstance();  
  17.         System.out.println(e1==e2);  
  18.     }  
  19.   
  20. }  
   运行结果:false
   可以看到,通过反射获取构造函数,然后调用setAccessible(true)就可以调用私有的构造函数,所有e1和e2是两个不同的对象。
   如果要抵御这种攻击,可以修改构造器,让它在被要求创建第二个实例的时候抛出异常。
   经修改后:
[java]  view plain  copy
  1. package com.effective.singleton;  
  2.   
  3. public class ElvisModified  
  4. {  
  5.     private static boolean flag = false;  
  6.   
  7.     private ElvisModified(){  
  8.         synchronized(ElvisModified.class)  
  9.         {  
  10.             if(flag == false)  
  11.             {  
  12.                 flag = !flag;  
  13.             }  
  14.             else  
  15.             {  
  16.                 throw new RuntimeException("单例模式被侵犯!");  
  17.             }  
  18.         }  
  19.     }  
  20.   
  21.     private  static class SingletonHolder{  
  22.         private static final ElvisModified INSTANCE = new ElvisModified();  
  23.     }  
  24.   
  25.     public static ElvisModified getInstance()  
  26.     {  
  27.         return SingletonHolder.INSTANCE;  
  28.     }  
  29.   
  30.     public void doSomethingElse()  
  31.     {  
  32.   
  33.     }  
  34. }  
    测试代码:
[java]  view plain  copy
  1. package com.effective.singleton;  
  2.   
  3. import java.lang.reflect.Constructor;  
  4.   
  5. public class ElvisModifiedReflectAttack  
  6. {  
  7.   
  8.     public static void main(String[] args)  
  9.     {  
  10.         try  
  11.         {  
  12.             Class<ElvisModified> classType = ElvisModified.class;  
  13.   
  14.             Constructor<ElvisModified> c = classType.getDeclaredConstructor(null);  
  15.             c.setAccessible(true);  
  16.             ElvisModified e1 = (ElvisModified)c.newInstance();  
  17.             ElvisModified e2 = ElvisModified.getInstance();  
  18.             System.out.println(e1==e2);  
  19.         }  
  20.         catch (Exception e)  
  21.         {  
  22.             e.printStackTrace();  
  23.         }  
  24.     }  
  25. }  
    运行结果:
[plain]  view plain  copy
  1. Exception in thread "main" java.lang.ExceptionInInitializerError  
  2.     at com.effective.singleton.ElvisModified.getInstance(ElvisModified.java:27)  
  3.     at com.effective.singleton.ElvisModifiedReflectAttack.main(ElvisModifiedReflectAttack.java:17)  
  4. Caused by: java.lang.RuntimeException: 单例模式被侵犯!  
  5.     at com.effective.singleton.ElvisModified.<init>(ElvisModified.java:16)  
  6.     at com.effective.singleton.ElvisModified.<init>(ElvisModified.java:7)  
  7.     at com.effective.singleton.ElvisModified$SingletonHolder.<clinit>(ElvisModified.java:22)  
  8.     ... 2 more  
    可以看到,成功的阻止了单例模式被破坏。
    从JDK1.5开始,实现Singleton还有新的写法,只需编写一个包含单个元素的枚举类型。推荐写法:
[java]  view plain  copy
  1. package com.effective.singleton;  
  2.   
  3. public enum SingletonClass  
  4. {  
  5.     INSTANCE;  
  6.   
  7.     public void test()  
  8.     {  
  9.         System.out.println("The Test!");  
  10.     }  
  11. }  
    测试代码:
[java]  view plain  copy
  1. package com.effective;  
  2.   
  3. import java.lang.reflect.Constructor;  
  4. import java.lang.reflect.InvocationTargetException;  
  5.   
  6. import com.effective.singleton.SingletonClass;  
  7.   
  8. public class TestMain  
  9. {  
  10.   
  11.     public static void main(String[] args) throws NoSuchMethodException, SecurityException, InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException  
  12.     {  
  13.         Class<SingletonClass> classType = SingletonClass.class;  
  14.         Constructor<SingletonClass> c = (Constructor<SingletonClass>) classType.getDeclaredConstructor();  
  15.         c.setAccessible(true);  
  16.         c.newInstance();  
  17.     }  
  18. }  
    运行结果:
[plain]  view plain  copy
  1. Exception in thread "main" java.lang.NoSuchMethodException: com.effective.singleton.SingletonClass.<init>()  
  2.     at java.lang.Class.getConstructor0(Unknown Source)  
  3.     at java.lang.Class.getDeclaredConstructor(Unknown Source)  
  4.     at com.effective.TestMain.main(TestMain.java:22)  
    由此可见这种写法也可以防止单例模式被“攻击”。
    而且这种写法也可以防止序列化破坏单例模式,具体不在举例了,有关序列化以及单例模式被序列化破坏可以参考博文《JAVA序列化》(链接:http://blog.csdn.net/u013256816/article/details/50474678)。
    单元素的枚举类型已经成为实现Singleton模式的最佳方法。
xinjing_wangtao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
谈谈Java中的反射机制
12-20
前言 在使用框架进行开发时,我们的开发速度大大提升。我们感叹于它的神奇之处,我们使用它的时候,也要知道其“灵魂”。正所谓,无反射,不框架,框架的灵魂就是反射。 另外,我们在eclipse或者IDEA中编辑Java代码时,它们是怎么知道我们的对象有哪些方法,输入一个点就能给提示呢? 带着问题我们来谈谈反射。 概念 反射:是将一个类的各个部分封装为其他对象,这就是反射机制。 看着上面文邹邹的话语,想必大家并没有理解啥是反射。下面我们来通过一个例子来进行讲解。 我们来看一下我们的Java代码在计算机中经历的几个阶段: 第一个阶段:源代码阶段 首先,我们定义一个猫的类,包含名字,年龄,无参和全参构造方
java单例模式实例
07-17
一个简单的java工程,包含注释,一目了然,其中包含了单例模式的所有实现方式,懒汉式,饿汉式,双重校验,枚举,静态内部类等方式实现单例。
单例模式如何防止反射攻击
m0_50654102的博客
06-03 781
单例模式例子: public class Single { private Single () {//私有化构造方法 } private static volatile Single instance = null; public static synchronized Single getInstance() { if(instance==null){ instance = new Single();//在此方法内创建对象
单例模式 -防止反射
program_sheet的博客
08-31 132
反射、单例
java反射_java防止反射破坏单例模式
weixin_32516005的博客
02-28 252
我们都知道单例模式是为了实现只创建一个实例,但是java反射机制可以破坏这种单例模式,这种通过反射来破坏单例的例子网上多的是,我就不列出来了,今天我们来说说怎么防止使用java反射机制来破坏单例,查了查网上有很多是在单例的类中增加一个boolean类型的flag,然后在构造函数中来改变flag的值,然后再调用构造函数的时候判断这个flag是否已经改变了,这样来防止重复创建对象实例,当看到这种...
关于单例模式防止反射攻击
csdnwenjun的博客
12-31 479
1.1 饿汉式不改成员变量:有效防止反射, 当反射在前,先类加载,再反射构造方法(此时判断出已有实例)。 当反射在后,先反射构造方法(此时判断出已有实例)。 public class HungrySingleton { private final static HungrySingleton hungrySingleton; static{ hungrySingleton = new HungrySingleton(); } private Hungry
单例模式java实现
最新发布
10-17
设计模式
Java SE程序 单例模式
01-21
Java SE程序 单例模式Java SE程序 单例模式Java SE程序 单例模式Java SE程序 单例模式Java SE程序 单例模式Java SE程序 单例模式Java SE程序 单例模式Java SE程序 单例模式Java SE程序 单例模式Java SE程序 单例模式...
JAVA反射机制与单例模式
06-09
理解JAVA反射机制的原理,作用;掌握反射机制的应用;单例模式程序的编写步骤与注意问题
java单例模式看这一篇就够了
12-21
深入分析java单例模式什么是单例模式单例模式的常见写法一、饿汉式单例优点缺点示例二、懒汉式单例示例1(普通写法)示例2(synchronized写法)示例3(DCL写法)示例4(内部类写法)三、注册式单例示例1(容器式)示例2(枚举式...
单例模式之预防反射攻击
03-30 262
单例模式之预防反射攻击
单例模式防止反射破解单例模式
qq_35289343的博客
11-15 825
测试懒汉式    单例模式(如何防止反射漏洞) public class Client2 {     public static void main(String[] args) throws Exception {         //通过反射方式直接调用私有构造器         Class&lt;LazySingletonVSSyn&gt; clazz = (Class&lt;LazySi...
单例模式防止反射和反序列化漏洞
m0_37154839的博客
02-26 287
一、懒汉式单例模式,解决反射和反序列化漏洞 package com.iter.devbox.singleton;   import java.io.ObjectStreamException; import java.io.Serializable;   /**  * 懒汉式(如何防止反射和反序列化漏洞)  * @author Shearer  *  */ public class Singl...
单例模式防止攻击(反射攻击)
msy7788的博客
10-25 1554
这几天看了几篇java单例模式,以前也看过很多java单例的创建什么的,也知道怎么创建这些单例,比如懒汉啊、饿汉啊、枚举啊什么的,但是一直就是不明白为什么单例就是安全的,为什么懒汉和饿汉就没有枚举安全? 直到这几天看点儿多线程的东西才发现,多线程里面要求全局变量是固定的,不可变得(为什么?)。举个例子:买票的时候,有三个窗口,同时去卖票。这三个窗口的售票员都要从统一的地方去取票,这统一的地方其...
单例模式以及防止反射破坏
qq_40262372的博客
09-01 966
一、为何要单例? 优点: 1.单例模式保证java应用程序中,一个类Class只有一个实例在,使用单例模式好处在于可以节省内存,节约资源,对于一般频繁创建和销毁对象的可以使用单例模式。 因为它限制了实例的个数,有利于java垃圾回收。好的单例模式也能提高性能。例如:数据库连接池、httpclient连接单例 缺点: 1.单例的缺点不适用于变化的对象,如果同一类型的对象总是要在不同的用例场景发生变化,单例就会引起数据的错误,不能保存彼此的状态。 2.单例模式的构造函数是静态的,不能被子类继承。 .
java 防止反射_Java 反射机制详解
weixin_35626356的博客
02-25 971
动态语言动态语言,是指程序在运行时可以改变其结构:新的函数可以被引进,已有的函数可以被删除等在结构上的变化。比如众所周知的ECMAScript(JavaScript)便是一个动态语言。除此之外如Ruby、Python等也都属于动态语言,而C、C++等语言则不属于动态语言。(引自: 百度百科)varexecString="alert(Math.floor(Math.random()*10));...
java 防止反射_Java设计模式(一):单例模式防止反射和反序列化漏洞
weixin_35879989的博客
02-13 600
一、懒汉式单例模式,解决反射和反序列化漏洞package com.iter.devbox.singleton;import java.io.ObjectStreamException;import java.io.Serializable;/*** 懒汉式(如何防止反射和反序列化漏洞)* @author Shearer**/public class SingletonDemo6 implement...
单例模式——如何防止反射破坏单例
weixin_40565846的博客
08-05 1668
一.在构造器中做判断,如果对象已经被创建那么再次创建则不允许创建 思路:不管是反射还是常规创建对象都需要调用构造器 弊端:如果在常规调用之前就已经使用反射创建则不能阻止 private volatile static SingleLazy instance; private SingleLazy(){ synchronized (this){ if(instance != null){ throw new Runtim
如何防止单例模式JAVA 反射攻击
tyyking的博客
11-22 550
如何防止单例模式JAVA 反射攻击 package sf.com.singleton; public class Demo { private static boolean flag = true; private Demo() { System.out.println("flag==" + flag); } ...
java 单例模式实战
04-29
枚举单例模式不仅实现简单,而且可以防止反射攻击和序列化/反序列化攻击。 在实际开发中,单例模式通常用于资源管理、配置文件管理等需要限制对象数量的场景。要注意避免过度使用单例模式,因为过度使用会导致代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值