我们使用HP强化扫描了我们的代码,并使用setAccessible()方法将所有反射代码标记为安全错误配置。尽管它提供了建议,但我还是不能完全理解。下面是解释和建议。
说明: AccessibleObject API允许程序员绕过Java访问说明符提供的访问控制检查。在 特别是它使程序员能够允许反射的对象绕过Java访问控制,进而更改 私有字段或调用私有方法,通常是不允许的行为。
建议: 访问说明只能由特权类使用攻击者无法设置的参数进行更改。所有事件 应该仔细检查。
建议是否说明我们使用Java安全管理器和AccessController类?