网站首页 > java教程 正文
让我们考虑以下代码片段:
// 'mapOfSets' 是要序列化/反序列化的对象
HashMap<Set, Integer> mapOfSets = new HashMap<>();
Set<Set> set = new HashSet<>();
mapOfSets.put(set, 1);
set.add(set);我们计划按照以下方式序列化mapOfSets对象(我假设Converters.objectToBytes()是从前面的问题中已知的):
byte[] mapSer = Converters.objectToBytes(mapOfSets); 一切都很正常,直到我们试图反序列化mapSer。在那一刻,我们得到的不是有效的对象,而是以下StackOverflowError:
Exception in thread "main" java.lang.StackOverflowError
at java.base/java.util.HashMap$KeyIterator
.<init>(HashMap.java:1626)
at java.base/java.util.HashMap$KeySet
.iterator(HashMap.java:991)
at java.base/java.util.HashSet
.iterator(HashSet.java:182)
at java.base/java.util.AbstractSet
.hashCode(AbstractSet.java:120)
at java.base/java.util.AbstractSet
.hashCode(AbstractSet.java:124)
...反序列化过程在Set的hashCode()方法中陷入困境。解决方案是创建一个过滤器,如果对象的图深度大于2,则拒绝反序列化。这可以是一个基于模式的过滤器,如下所示:
ObjectInputFilter filter = ObjectInputFilter.Config
.createFilter("maxdepth=2;java.base/*;!*");接下来,使用此过滤器调用反序列化过程:
HashMap mapDeser = (HashMap) Converters
.bytesToObject(mapSer, filter); 我假设Converters.bytesToObject()是从前面的问题中已知的。这一次,我们没有得到StackOverflowError,而是反序列化被过滤器拒绝了。
猜你喜欢
- 2024-11-04 快速处理Kafka反序列化错误(kafka自定义反序列化)
- 2024-11-04 又一个反序列化漏洞,我服了...(反序列化漏洞修复方案)
- 2024-11-04 Java代码示例:如何使用 serialVersionUID处理序列化
- 2024-11-04 Java 序列化机制(java序列化过程)
- 2024-11-04 SpringBoot整合Grpc实现跨语言RPC通讯
- 2024-11-04 php和java及python3.10的序列化和反序列化
- 2024-11-04 Java修炼终极指南:133 避免在反序列化时发生DoS攻击
- 2024-11-04 聊聊fastjson反序列化的那些坑(fastjson反序列化原理)
- 2024-11-04 Java序列化 3 连问,这太难了吧(在线序列化工具)
- 2024-11-04 避免使用Java序列化(serializable 防止序列化)
欢迎 你 发表评论:
- 最近发表
- 标签列表
-
- java反编译工具 (77)
- java反射 (57)
- java接口 (61)
- java随机数 (63)
- java7下载 (59)
- java数据结构 (61)
- java 三目运算符 (65)
- java对象转map (63)
- Java继承 (69)
- java字符串替换 (60)
- 快速排序java (59)
- java并发编程 (58)
- java api文档 (60)
- centos安装java (57)
- java调用webservice接口 (61)
- java深拷贝 (61)
- 工厂模式java (59)
- java代理模式 (59)
- java.lang (57)
- java连接mysql数据库 (67)
- java重载 (68)
- java 循环语句 (66)
- java反序列化 (58)
- java时间函数 (60)
- java是值传递还是引用传递 (62)
本文暂时没有评论,来添加一个吧(●'◡'●)