java反序列化漏洞对策

1)java反序列化漏洞请百度。
2)对策:
ObjectInputStream.readObject()的地方改为 附件中的
SerialKiller.readObject()。

附件有2个文件:
SerialKiller.conf为配置文件,可以指定白名单,仅仅对白名单中的类反序列化
SerialKiller.java为ObjectInputStream的子类,覆盖了resolveClass方法(此会被readObject()方法调用),加入了类名检查,确保反序列的是安全的类。

可以将附件的2个文件复制到你的项目中,或者将附件的maven项目编译为jar文件使用。

你可能感兴趣的:(java反序列化漏洞对策)