@CallerSensitive

最新推荐文章于 2024-06-16 21:34:28 发布
最新推荐文章于 2024-06-16 21:34:28 发布
阅读量751 收藏 3
点赞数 2
分类专栏: java进阶
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhou920786312/article/details/101611800
版权

CallerSensitive学习

代码位置(Reflection类)

public class Reflection {

@CallerSensitive
public static native Class<?> getCallerClass();

权限

  1. Reflection.getCallerClass()此方法的调用者必须有权限
    1. 由bootstrap class loader(启动类加载器)加载的类可以调用
    2. 由extension class loader(扩展类加载器)加载的类可以调用
    3. 用户路径的类加载都是由 application class loader(应用程序类加载器)进行加载的,换句话说就是用户自定义的 类无法调用此方法。

作用

  1. 方法A要使用Reflection.getCallerClass()方法, 方法A必须用@CallerSensitive进行注解
  2. 可以获得调用者class类型
  3. 大多数caller-sensitive方法某种程度上是作为调用者的代理。当通过反射调用时,这些方法必须经过特殊处理以确保getCallerClass返回的是实际调用者的class类型,而不是反射机制本身的某些类。

验证

有验证的朋友留言给我

扩展

另外,据JVM注解@CallSensitive文章,有一个类似的解释:

这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限,原理是当时反射只检查固定深度的调用者的类,
看它有没有特权,例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够权限群访问某些信息,
那我就可以通过双重反射去达到目的:反射相关的类是有很高权限的,而在 我->反射1->反射2这样的调用链上, 反射2检查权限时看到的是反射1的类,这就被欺骗了,导致安全漏洞。使用CallerSensitive后,getCallerClass不再用固定深度去寻找actual caller(“我”),而是把所有跟反射相关的接口方法都标注上CallerSensitive,搜索时凡看到该注解都直接跳过,这样就有效解决了前面举例的问题。

下面是我的理解:
当”我“->反射1->反射2->反射3->反射4->…反射5->N,当我使用反射获取N的时候,N检测反射5是否有@callSentitive,有就跳过,继续查询反射4是否有@callSentitive,重复这个循环,直到找到没有@callSentitive的我。
注意:上面的反射的方法都标有callSentitive注解,只有这样N才能找到我
勤径苦舟
关注
专栏目录
Java进阶:@CallerSensitive详解
qq_28834355的博客
09-17 2076
前言 有一天在看Unsafe.getUnsafe()源码时,发现该方法上有@CallerSensitive注解。类似的比如Class.forName也有该注解。它们的源码分别如下: @CallerSensitive public static Unsafe getUnsafe() { Class var0 = Reflection.getCallerClass(); if (!VM.isSystemDomainLoader(var0.getClassLoader())) {
jdk11的class反射机制,将newInstance()方法设置为了不建议使用了,怎么通过反射创建新的对象
极客栈
11-05 5812
下面是jdk11的源代码,看到有个方法 @CallerSensitive @Deprecated(since="9") public T newInstance(){ 。。。。。。 } 这里就意味着,newInstance()不建议使用 这里看到jdk9就不建议使用了。那么应该用哪个代替呢? 我们知道创建对象有几种方式 1. new 关键字 ,默认或者显示地调用构造方法实现。 2.反射newInstance。 3.反射方式显示调用构造函数 4.深度拷贝copy 下面是C...
JVM注解@CallSensitive
热门推荐
HEL_WOR的博客
12-06 1万+
转载请注明 http://blog.csdn.net/HEL_WOR/article/details/50199797 @CallSensitive是JVM中专用的注解,在类加载过过程中是可以常常看到这个注解的身影的。 这是在Sun.reflect中的定义:@Retention(RetentionPolicy.RUNTIME) @Target({ java.lang.annotation.Elem
@CallSensitive
l1394049664的博客
08-03 417
@CallSensitive:是一个方法的注解、在类加载过过程中是可以常常看到这个注解 package sun.reflect; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import ...
@CallerSensitive 原理
码农架构
08-19 858
关注公众号:码农架构。 回复资料,领取小码哥最新整理的面试资料 权限 Reflection.getCallerClass()此方法的调用者必须有权限,需要什么样的权限呢? 由bootstrap class loader加载的类可以调用 由extension class loader加载的类可以调用 都知道用户路径的类加载都是由 application class loader进行加载的,换句话说就是用户自定义的一些类中无法调用此方法 作用 Reflection.getCallerCl.
扒一扒@CallerSensitive注解,有点意思
Huangjiazhen711的博客
10-17 1169
因为 一旦变化 就是一个新的String对象,旧的对象不变。
JVM源码阅读(五) : 反射——Field、Constructor和Method
Longstar_L的博客
12-03 155
一、Field类 Field类提供了某个类或接口中的属性信息,既可以是类属性,也可以是实例属性。 1. 字段介绍 //这个属性是属于哪个类,通过调用getDeclaringClass方法可以获取到声明这个属性的类 private Class<?> clazz; private int slot; //主要用于虚拟机实施反射 private String name; //该属性是什么类型的 private Class&
cannot resolve symbol 'callersensitive
09-18
"Cannot resolve symbol 'callersensitive'"是指在编程过程中遇到的一个错误。这个错误通常出现在Java程序中。 首先,'callersensitive'是Java中的一个注解,它用于指示编译器对方法的调用者进行检查以确保其正确...
@CallerSensitive 注解的作用
一叶知秋
09-05 874
如Reflection.getCallerClass()方法规定,调用它的对象,必须有 @CallerSensitive 注解,否则 报异常 Exception in thread "main" java.lang.InternalError: CallerSensitive annotation expected at。总结就是说 jdk内有些方法,jvm的开发者认为这些方法危险,不希望开发者调用,就把这种危险的方法用 @CallerSensitive修饰,并在“jvm”级别检查。
[Java]讲解@CallerSensitive注解
最新发布
进步*于辰的博客
06-16 2363
本篇文章阐述的这个注解起初是我在解析JDK源码时无意间发现的,虽然在日常工作中它的作用不是很大,但它进一步完善了我对类加载与ClassLoader类的掌握。 如果文中有不妥或不对的,多多交流。
jvm注解 @CallerSensitive的用处
lcmlx1242的博客
08-28 2794
这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限,原理是当时反射只检查固定深度的调用者的类,看它有没有特权,例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够权限群访问某些信息,那我就可以通过双重反射去达到目的:反射相关的类是有很高权限的,而在 我-&gt;反射1-&gt;反射2 这样的调用链上,反射2检查权限时看到的是反射1的类,这就被欺骗了,导致...
@CallerSensitive注解
WTL的博客
05-09 3841
具体的理解请参考:https://blog.csdn.net/HEL_WOR/article/details/50199797。下面是我自己的理解:下面就是Class.forName的定义,学过java的应该都用过这个方法。 @CallerSensitive public static Class&lt;?&gt; forName(String className) ...
Java 注解 CallerSensitive
weixin_34129696的博客
12-02 152
为什么80%的码农都做不了架构师?>>> ...
Reflection的getCallerClass的使用
大叶子不小的博客
07-03 446
Reflection的getCallerClass的使用:可以得到调用者的类.这个方法是很好用的.0 和小于0 - 返回 Reflection类1 - 返回自己的类2 - 返回调用者的类3. 4. ....层层上传。package com.huangyunbin;import sun.reflect.Reflection;public class Test{ public...
偏门知识点
u013217730的博客
09-09 729
偏门知识点 Java相关 1、@CallerSensitive注解的作用是什么 这个注解是为了堵住漏洞用的。曾经有黑客通过构造双重反射来提升权限, 原理是当时反射只检查固定深度的调用者的类,看它有没有特权, 例如固定看两层的调用者(getCallerClass(2))。如果我的类本来没足够 权限群访问某些信息,那我就可以通过双重反射去达到目的:反射相关 的类是有很高权限的,而在 我->反射1->反射2 这样的调用链上,反射2 检查权限时看到的是反射1的类,这就被欺骗了,导致安全漏洞。 使用Cal
sun.reflect.Reflection介绍以及@CallerSensitive注解
赶路人儿
11-23 3087
sun.reflect.Reflection 这个工具类是和反射相关的,我第一次见到这个方法是在java.sql.DriverManager中的getConnection方法中见到的: @CallerSensitive public static Connection getConnection(String url, String user, String password) throws SQLException { java.util.Properties info = n
Java基础5大机制——反射机制详解(一)
qq_37080455的博客
08-09 697
一、反射的概述 JAVA反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意一个方法和属性;这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。 要想解剖一个类,必须先要获取到该类的字节码文件对象。而解剖使用的就是Class类中的方法.所以先要获取到每一个字节码文件对应的Class类型的对象. 下面是详细说明: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值