java 防止反射_如何防止单例模式被JAVA反射攻击

最新推荐文章于 2023-12-22 17:12:48 发布
最新推荐文章于 2023-12-22 17:12:48 发布
阅读量447 收藏 1
点赞数
文章标签: java 防止反射
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36487530/article/details/114120308
版权
本文探讨了如何防止Java中的反射攻击破坏单例模式。通过示例展示了即使使用占位符模式,反射仍然可以创建多个实例。为解决这个问题,文章建议在构造器中添加检查,当尝试创建第二个实例时抛出异常。此外,从Java 1.5开始,使用单元素枚举实现单例模式被认为是最安全的方法,因为它同时防止了反射和序列化破坏单例。
摘要由CSDN通过智能技术生成

单例模式相信大家都知道,用过的人不在少数。之前写过一篇博文《singleton模式四种线程安全的实现》(参见:http://blog.csdn.NET/u013256816/article/details/50427061),讲诉了单例模式的四种写法,并指出占位符模式的写法比较ok,详见如下:

package com.effective.singleton;

public class Elvis

{

private static boolean flag = false;

private Elvis(){

}

private static class SingletonHolder{

private static final Elvis INSTANCE = new Elvis();

}

public static Elvis getInstance()

{

return SingletonHolder.INSTANCE;

}

public void doSomethingElse()

{

}

}

但这都是基于一个条件:确保不会通过反射机制调用私有的构造器。

这里举个例子,通过JAVA的反射机制来“攻击”单例模式:

package com.effective.singleton;

import java.lang.reflect.Constructor;

import java.lang.reflect.InvocationTargetException;

public class ElvisReflectAttack

{

public static void main(String[] args) throws InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException, NoSuchMethodException, SecurityException

{

Class> classType = Elvis.class;

Constructor> c = classType.getDeclaredConstructor(null);

c.setAccessible(true);

Elvis e1 = (Elvis)c.newInstance();

Elvis e2 = Elvis.getInstance();

System.out.println(e1==e2);

}

}

运行结果:false

可以看到,通过反射获取构造函数,然后调用setAccessible(true)就可以调用私有的构造函数,所有e1和e2是两个不同的对象。

如果要抵御这种攻击,可以修改构造器,让它在被要求创建第二个实例的时候抛出异常。

经修改后:

package com.effective.singleton;

public class ElvisModified

{

private static boolean flag = false;

private ElvisModified(){

synchronized(ElvisModified.class)

{

if(flag == false)

{

flag = !flag;

}

else

{

throw new RuntimeException("单例模式被侵犯!");

}

}

}

private static class SingletonHolder{

private static final ElvisModified INSTANCE = new ElvisModified();

}

public static ElvisModified getInstance()

{

return SingletonHolder.INSTANCE;

}

public void doSomethingElse()

{

}

}

测试代码:

package com.effective.singleton;

import java.lang.reflect.Constructor;

public class ElvisModifiedReflectAttack

{

public static void main(String[] args)

{

try

{

Class classType = ElvisModified.class;

Constructor c = classType.getDeclaredConstructor(null);

c.setAccessible(true);

ElvisModified e1 = (ElvisModified)c.newInstance();

ElvisModified e2 = ElvisModified.getInstance();

System.out.println(e1==e2);

}

catch (Exception e)

{

e.printStackTrace();

}

}

}

运行结果:

Exception in thread "main" java.lang.ExceptionInInitializerError

at com.effective.singleton.ElvisModified.getInstance(ElvisModified.java:27)

at com.effective.singleton.ElvisModifiedReflectAttack.main(ElvisModifiedReflectAttack.java:17)

Caused by: java.lang.RuntimeException: 单例模式被侵犯!

at com.effective.singleton.ElvisModified.(ElvisModified.java:16)

at com.effective.singleton.ElvisModified.(ElvisModified.java:7)

at com.effective.singleton.ElvisModified$SingletonHolder.(ElvisModified.java:22)

... 2 more

可以看到,成功的阻止了单例模式被破坏。

从JDK1.5开始,实现Singleton还有新的写法,只需编写一个包含单个元素的枚举类型。推荐写法:

package com.effective.singleton;

public enum SingletonClass

{

INSTANCE;

public void test()

{

System.out.println("The Test!");

}

}

测试代码:

package com.effective;

import java.lang.reflect.Constructor;

import java.lang.reflect.InvocationTargetException;

import com.effective.singleton.SingletonClass;

public class TestMain

{

public static void main(String[] args) throws NoSuchMethodException, SecurityException, InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException

{

Class classType = SingletonClass.class;

Constructor c = (Constructor) classType.getDeclaredConstructor();

c.setAccessible(true);

c.newInstance();

}

}

运行结果:

Exception in thread "main" java.lang.NoSuchMethodException: com.effective.singleton.SingletonClass.()

at java.lang.Class.getConstructor0(Unknown Source)

at java.lang.Class.getDeclaredConstructor(Unknown Source)

at com.effective.TestMain.main(TestMain.java:22)

由此可见这种写法也可以防止单例模式被“攻击”。

而且这种写法也可以防止序列化破坏单例模式,具体不在举例了,有关序列化以及单例模式被序列化破坏可以参考博文《JAVA序列化》(链接:http://blog.csdn.net/u013256816/article/details/50474678)。

单元素的枚举类型已经成为实现Singleton模式的最佳方法

Isaac Duan
关注
JAVA反射机制与单例模式
06-09
Java反射机制是Java编程语言中的一个强大特性,它允许程序...了解并熟练掌握Java反射机制和单例模式,对于提升Java开发能力和优化代码质量至关重要。它们是Java程序员必备的知识技能,广泛应用于各种实际项目和框架中。
如何防止私有方法被反射调用?
mjf_2008的专栏
05-15 495
java 防止反射_Java 反射机制详解
weixin_35626356的博客
02-25 1033
动态语言动态语言,是指程序在运行时可以改变其结构:新的函数可以被引进,已有的函数可以被删除等在结构上的变化。比如众所周知的ECMAScript(JavaScript)便是一个动态语言。除此之外如Ruby、Python等也都属于动态语言,而C、C++等语言则不属于动态语言。(引自: 百度百科)varexecString="alert(Math.floor(Math.random()*10));...
Java设计模式之单例模式以及如何防止通过反射破坏单例模式
最新发布
weixin_51311741的博客
12-22 1845
​ 什么是单例模式?保障一个类只能有一个对象(实例)的代码开发模式就叫单例模式​ 什么时候使用?工具类!(一种做法,所有的方法都是static,还有一种单例模式让工具类只有一个实例) 某类工厂(SqlSessionFactory)
java禁止反射
mlh532354163的博客
03-18 2533
转载:https://blog.csdn.net/weixin_33774883/article/details/93570419 SecurityManager 有一个checkMemberAccess这个方法可以阻止利用反射; 如: SecurityManager sm = new SecurityManager(); sm.checkMemberAccess(Test.clas...
java安全策略 禁止反射_初探java安全之反射
weixin_42364833的博客
02-16 2279
什么是反射反射机制在java中可以说是非常强大的,很多优秀的开源框架都是通过反射完成的。在java的运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法,都能够调用它的任意一个方法和属性,这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。下面介绍下基于反射技术的函数方法。与反射相关的,其实主要就是几个关键的函数方法。可以先从这一段简单的代码看起public void...
singleton_单例模式_java_设计模式_
10-03
单例模式是软件设计模式中的一种经典模式,它在Java编程中被广泛使用。这个模式的主要目的是确保一个类只有一个实例,并提供一个全局访问点。这样做的好处在于控制资源的共享,减少系统开销,以及在多线程环境中避免...
Java线程安全中的单例模式
09-03
在大多数情况下,枚举实现被认为是更推荐的选择,因为它在保证线程安全的同时,也提供了更好的封装性和防止反射攻击的能力。然而,如果对单例的使用有特殊需求,如需要延迟初始化或插件化,那么静态内部类的实现方式...
java设计模式——单例模式
12-22
- 通过枚举类型实现单例模式是线程安全且防止反射攻击的最佳选择。 ```java enum Laowang { INSTANCE; public void doSomething() { // ... } } ``` 每种实现方式都有其适用场景,开发者需要根据实际需求...
java单例模式代码实例
12-14
这是Joshua Bloch在《Effective Java》中推荐的方式,既保证了线程安全,又防止反射攻击。 ```java public enum Singleton { INSTANCE; public void doSomething() { } } ``` 二、单例模式的优点 1. 节省...
java安全策略 禁止反射,Java Security Manager完全禁用反射
weixin_34404808的博客
02-25 327
I've been reading quite a lot of questions on Stackoverflow about this question but couldn't quit find a solution or answer for my problem. If there is already one I would be grateful if somebody woul...
反射破坏单例模式以及如何防御
kaven
01-23 7591
反射破坏单例模式以及如何防御 需要了解实现单例模式的各种方法,可以参考下方这篇博客。 设计模式-单例模式(Singleton Pattern) 单例模式类Singleton,是使用静态内部类实现的单例模式。 package com.kaven.design.pattern.creational.singleton; public class Singleton{ private Sing...
java反射入_Java反射机制与安全问题
weixin_39671935的博客
02-16 398
00前 言近日,笔者在总结Java反序列化漏洞的过程中发现一个怎么也绕不开的词“Java反射机制“,以前笔者只知道这是一个实现Java”准动态“语言,方便开发人员调试程序的机制而已,没想到“反射”竟成了反序列化漏洞攻击的手段之一,所以在这篇文章中好好的总结一下,反射机制的原理以及存在还有哪些安全问题。反射机制思维导图:01Java反射机制定义Java反射机制是指在运行状态中,对于任意一个类,都能...
单例模式——如何防止反射破坏单例
weixin_40565846的博客
08-05 2018
一.在构造器中做判断,如果对象已经被创建那么再次创建则不允许创建 思路:不管是反射还是常规创建对象都需要调用构造器 弊端:如果在常规调用之前就已经使用反射创建则不能阻止 private volatile static SingleLazy instance; private SingleLazy(){ synchronized (this){ if(instance != null){ throw new Runtim
单例模式以及防止反射破坏
qq_40262372的博客
09-01 1037
一、为何要单例? 优点: 1.单例模式保证java应用程序中,一个类Class只有一个实例在,使用单例模式好处在于可以节省内存,节约资源,对于一般频繁创建和销毁对象的可以使用单例模式。 因为它限制了实例的个数,有利于java垃圾回收。好的单例模式也能提高性能。例如:数据库连接池、httpclient连接单例 缺点: 1.单例的缺点不适用于变化的对象,如果同一类型的对象总是要在不同的用例场景发生变化,单例就会引起数据的错误,不能保存彼此的状态。 2.单例模式的构造函数是静态的,不能被子类继承。 .
如何避免反射和序列化破坏单例模式
大唐雨夜的博客
03-14 690
上一节《单例设计模式实现总结》,我们使用饿汉式、双重锁检查、静态内部类、枚举类实践了前3条。然而光并发安全并不能保证唯一实例,反射和序列化可以破坏单例模式
Java基础-单例防反射
MatrixMind的博客
03-26 557
1.单例的优势 单例模式(Singleton Pattern)是 Java 中创建型模式中最简单的设计模式,它提供了一种创建对象和访问对象以及减少资源重复创建的极佳的方式。 这种模式涉及到一个单一的类或者单一的内部类,该类负责创建同时确保只有该类的唯一对象被创建。这个类提供了以类名访问该对象的访问方式。 既然单例模式这么多优点那么我们怎么设计单例模式呢。 1.我们需要知道对象的创建有哪几种方式: new一个对象,反射newinstance(), 反序列化ObjectInputStream() 2
java 防止反射_解决反射型XSS漏洞攻击
weixin_29777019的博客
02-25 3213
对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台。一、首先从前端考虑过滤一些非法字符。前端的主控js中,在 输入框标签中,找到点击发送按钮后,追加到聊天panel前 进行过滤input输入内容1 // 过滤xss反射型漏洞2 filterinputtxt: function (html) {3 html = html.repl...
java 防止反射_如何防止JAVA反射对单例类的攻击
weixin_30849865的博客
02-13 404
在我的上篇随笔中,我们知道了创建单例类有以下几种方式:(1).饿汉式;(2).懒汉式(、加同步锁的懒汉式、加双重校验锁的懒汉式、防止指令重排优化的懒汉式);(3).登记式单例模式;(4).静态内部类单例模式;(5).枚举类型的单例模式。在上面的5种实现方式中,除了枚举类型外,其他的实现方式是可以被JAVA反射机制给攻击的,即使他的构造方法是私有化的,我们也可以做一下处理,从外部得到它的实例。下面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值