标签: java security serialization
我了解Java序列化会带来安全风险。 Java中的密封对象是否可以减轻这种风险?如果是这样,有什么理由不使用对象密封而不是不安全的序列化?
答案 0 :(得分:1)
不,不是靠自己。序列化的流可以包含任何对象,而不仅仅是javax.crypto.SealedObject。您仍然需要新的“白名单”功能。
javax.crypto.SealedObject
一种更好的方法是保护整个流。然后使用其他协议来进行Java序列化,而不会产生任何魔力。或者在可能的情况下,仅传递令牌而不是数据本身。