1.覆盖readObject()检查反序列化对象的有效性,以防止安全攻击。readObject()可视为一个隐藏的构造函数。在此方法里不要直接或间接的调用对象的可覆盖的方法(因为执行这些可覆盖的方法时,子类对象的状态可能还未初始化)
注:原书有说明如何使用序列化注入不安全的对象
2.对于对象控制,优先使用枚举类代替readResolve()方法。比如使用枚举实现单例模式
注:原书有说明如何使用序列化注入不安全的单例对象
3.考虑使用序列化代理设计模式(serialization proxy)实现对象序列化。此模式可以有效的避免通过序列化进行安全攻击等问题,缺点是轻微降低性能
首选声明序列化代理类,一般声明为静态内部类,如下:
/** 序列化代理对象 */
private static class SerializationProxy implements Serializable {
private final Date start;
private final Date end;
/**通过构造函数传入被代理的对象*/
SerializationProxy(Period p) {
//此处保存被代理对象需要序列化的属性值
this.start = p.start;
this.end = p.end;
}
/** 反序列化时返回被代理的对象 */
private Object readResolve() {
return new Period(start, end);
}
private static final long serialVersionUID = 234098243823485285L;
}
被代理对象Period需要覆盖以下方法:
/** 直接抛出异常,避免使用对象序列化 */
private void readObject(ObjectInputStream stream)
throws InvalidObjectException {
throw new InvalidObjectException("Proxy required");
}
/** 序列化时返回代理对象 */
private Object writeReplace() {
return new SerializationProxy(this);
}
在序列化时,Period类通过writeReplace()返回代理对象SerializationProxy,即被序列化的实际是SerializationProxy对象。因此反序列化时也是SerializationProxy对象,但是SerializationProxy对象覆盖了readResolve()方法,反序列化时会调用此方法并把返回值作为反序列化结果,最终得到的是Period对象