是否可以从没有对象类的序列化为光盘的java对象中读取成员值?
我认为这是一个很大的问题,它不可能 - 但我想肯定地知道。
答案 0 :(得分:2)
当然有可能 - 你只需重新实现ObjectInputStream所做的任何事情,跳过你不想要的部分。
Java对象序列化规范包含章节Object Serialization Stream Protocol,其中包含您需要了解的所有内容。
因此,如果您的问题是我可以确定在没有反序列化整个对象的情况下没有人可以访问我的对象的内容,答案是否。另见附录A Security in Object Serialization,其中详细阐述了这一点。