为什么公共静态最终数组是安全漏洞?

时间:2010-05-16 00:12:18

标签: java effective-java

有效的java说:

  

//潜在的安全漏洞!

     

static public final Thing [] VALUES = {...};

有人可以告诉我什么是安全漏洞吗?

8 个答案:

答案 0 :(得分:53)

声明static final public字段通常是类常量的标志。它对于原始类型(整数,双精度等)和不可变类(如字符串和java.awt.Color)来说非常好。对于数组,问题是即使数组引用是常量,数组的元素仍然可以更改,因为它是一个字段,更改是无人看管的,不受控制的,通常是不受欢迎的。

为了解决这个问题,数组字段的可见性可以限制为私有或包私有,因此在查找可疑修改时需要考虑较小的代码体。或者,通常更好的方法是将阵列一起取消并使用“列表”或其他适当的集合类型。通过使用集合,您可以控制是否允许更新,因为所有更新都通过方法进行。您可以使用Collections.unmodifiableList()打包收藏来阻止更新。但请注意,即使集合是不可变的,您还必须确保存储在其中的类型也是不可变的,否则将重新出现对假定常量的未经请求的更改的风险。

答案 1 :(得分:40)

要理解为什么这是一个潜在的安全漏洞而不仅仅是封装不良,请考虑以下示例:

public class SafeSites {
    // a trusted class with permission to create network connections
    public static final String[] ALLOWED_URLS = new String[] {
        "http://amazon.com", "http://cnn.com"};

    // this method allows untrusted code to connect to allowed sites (only)
    public static void doRequest(String url) {
        for (String allowed : ALLOWED_URLS) {
            if (url.equals(allowed)) {
                 // send a request ...
            }
        }
    }
}

public class Untrusted {
     // An untrusted class that is executed in a security sandbox.

     public void naughtyBoy() {
         SafeSites.ALLOWED_URLS[0] = "http://myporn.com";
         SafeSites.doRequest("http://myporn.com");
     }
}

正如您所看到的,错误使用最终数组意味着不受信任的代码可以破坏受信任的代码/沙箱试图强加的限制。在这种情况下,这显然是一个安全问题。

如果您的代码不是安全关键应用程序的一部分,那么您可以忽略此问题。但IMO这是一个坏主意。在将来的某个时刻,您(或其他人)可能会在安全性受到关注的环境中重用您的代码。无论如何, this 是作者调用公共最终数组安全问题的原因。

Amber在评论中说:

  

如果你能以任何方式阅读源代码和/或字节码,就不会有私人安全漏洞......

事实并非如此。

“坏人”可以使用源代码/字节码来确定private存在并引用数组不足以来破坏安全性。坏人必须将代码注入到具有使用反射所需权限的JVM中。在(正确实施的)安全沙箱中运行的不受信任的代码无法使用此权限。

答案 2 :(得分:15)

  

请注意,非零长度数组始终是可变的,因此类具有公共静态最终数组字段或返回此类字段的访问器是错误的。如果类具有这样的字段或访问者,客户端将能够修改数组的内容。

     

- Effective Java ,2nd Ed。 (第70页)

答案 3 :(得分:2)

外部类可以修改数组的内容,这可能不是您希望类的用户执行的操作(您希望他们通过方法执行此操作)。这听起来像作者意味着它违反了封装,而不是安全。

我猜有人声明这一行可能会认为其他类无法修改数组内容,因为它被标记为final,但事实并非如此,最终只会阻止您重新分配属性。

答案 4 :(得分:1)

在此声明中,客户端可以修改Thing [0],Thing [1]等(即数组中的元素)。

答案 5 :(得分:0)

认为它只意味着整个公共与私人事物。将局部变量声明为私有,然后使用get和set方法,而不是直接访问它们应该是一种好习惯。让他们更难以在你的程序之外搞砸。据我所知,关于它。

答案 6 :(得分:0)

因为,final关键字只保证参考值(例如假设它作为内存位置),但不保证其中的内容。

答案 7 :(得分:0)

我还将添加Joshua Bloch在Effective Java 3rd Edition中提出的内容。 当然,如果声明为:

,我们可以轻松更改数组的值。 
public static final String[] VALUES = { "a", "b" }; 

a.VALUES[0] = "changed value on index 0";
System.out.println(String.format("Result: %s", a.VALUES[0]));

我们得到Result: changed value on index 0

Joshua Bloch建议返回数组的副本:

private static final String[] VALUES = { "a", "b" };   
public static final String[] values()
{
    return VALUES.clone();
}

所以现在我们尝试:

a.values()[0] = "changed value on index 0";
System.out.println(String.format("Result: %s", a.values()[0]));

我们得到Result: a,这就是我们想要实现的-VALUES是不可变的。

public static final声明为原始值,字符串或其他不可变对象(如public static final int ERROR_CODE = 59;)也没什么

相关问题
最新问题