企业网站策划建设方案公司中包含哪些关键部门？

企业网站策划建设方案,公司十大部门,2023年的新闻十条,如何查看网络服务商简介 https://openjdk.org/jeps/290 Filter Incoming Serialization Data过滤传入的序列化数据 JEP290是Java官方提供的一套来防御反序列化的机制#xff0c;其核心在于提供了一个ObjectInputFilter接口#xff0c;通过设置filter对象#xff0c;然后在反序列化#xff…简介 https://openjdk.org/jeps/290 Filter Incoming Serialization Data过滤传入的序列化数据 JEP290是Java官方提供的一套来防御反序列化的机制其核心在于提供了一个ObjectInputFilter接口通过设置filter对象然后在反序列化ObjectInputStream#readObject的时候触发filter的检测 JEP 290 在 JDK 9 中加入但在 JDK 6,7,8 一些高版本中也添加了 Java? SE Development Kit 8, Update 121 (JDK 8u121)Java? SE Development Kit 7, Update 131 (JDK 7u131)Java? SE Development Kit 6, Update 141 (JDK 6u141)处理 我这里的JDK是 8u202版本 ObjectInputStream 对于ObjectInputStream类来说主要的过滤方法为filterCheck 根据注释我们知道这个方法主要是当序列化过滤器不为空的时候触发该过滤器 其中反序列化过滤器就为serialFilter属性值跟进一下 这是一个ObjectInputFilter接口根据注释我们知道从流中读取类的类描述符和类的过滤器可以不进行配置 我们看看该类的构造方法 默认会对serialFilter属性进行赋值操作跟进ObjectInputFilter.Config.getSerialFilter()方法的调用 获取的是ObjectInputFilter中的内部静态类Config的serialFilter属性 跟下来回到filterCheck方法的分析 首先就会判断是否具有serialFilter这个过滤器如果不为空将会调用过滤器的checkInput方法进行过滤处理传入了clazz / arrayLength / depth等信息 这个方法返回的是一个ObjectInputFilter.Status这是一个枚举类型 接下来回到filterCheck方法 如果返回的状态为null/REJECTED两个之一将会抛出异常 所以对于过滤器的设置我们可以通过创建一个ObjectInputFilter实例并重写他的checkInput方法在其中实现我们的过滤逻辑之后通过调用ObjectInputStream#setInternalObjectInputFilter进行为stream添加过滤器 ObjectInputFilter$Config 在这个类中存在有一个静态代码块 在调用该类的时候就会为serialFilter属性赋值跟进到configuredFilter属性的来源 主要是获取jdk.serialFilter属性值之后通过调用createFilter方法进行过滤器的创建 跟进一下createFilter方法的调用 这个方法将会调用ObjectInputFilter.Config.Global.createFilter方法进行创建 ObjectInputFilterConfigConfigConfigGlobal 接着上面的分析我们跟进该类的createFilter方法 将传入的JEP规则字符串var0传入Global内部静态类的构造方法中创建了一个Golbal对象进行返回所以前面在ObjectInputStream类的构造方法中主要是为serialFilter赋值的是一个Global类 查看官方文档我们知道JEP 290的编写规则为 如果模式以“”开头如果模式的其余部分匹配则该类被拒绝否则被接受 如果模式包含“/”则“/”之前的非空前缀是模块名称。如果模块名称与类的模块名称匹配则剩余模式与类名称匹配。如果没有“/”则不比较模块名称。 如果模式以“.**”结尾则它匹配包和所有子包中的任何类 如果模式以“.*”结尾它匹配包中的任何类 如果模式以“*”结尾它匹配任何以该模式为前缀的类。 如果模式等于类名则匹配。