java安全编程标准笔记(四)
一、异常行为
1. 记录日志时应避免异常
简介
如果没有考虑到写入日志时发生异常的可能性,则会造成安全漏铜,例如允许攻击者阻止对关键的安全异常进行记录。从而,即使抛出异常,程序也必须确保日志记录能正确地继续执行。
违反规则代码示例一
try{
//....
} catch (IOException ioe) {
System.err.println(ioe);
}
问题说明
将这样的异常写到错误流是不能满足记录的目的的。首先,标准错误流可能会被耗尽或关闭,这妨碍了随后的异常记录。其次,标准错误流的信任级别也许不能满足不泄露敏感信息的要求。如果在写入关键异常发生I/O错误,catch程序段会抛出IOException,从而造成了关键的安全异常的丢失。
符合规则的实例一
try{
//....
} catch (IOException ioe) {
logger.log(Level.SERVER,ioe)
}
2.在方法失败时恢复对象先前的状态
简介
一般来说,即使发生异常情况,应该维持对象尤其是关乎安全的对象的状态一致性。常用的维持对象一致性的技术包括:
- 输入校验(例如对方法的参数进行检测)
- 改变逻辑次序让可能会导致异常的代码在修改对象前执行
- 在失败时使用回滚
- 对一个对象的临时复制进行所需的操作&#