《Effective Java》中提到:
// 潜在的安全漏洞!
static public final Thing[] VALUES = { ... };
有人能告诉我这个安全漏洞是什么吗?
《Effective Java》中提到:
// 潜在的安全漏洞!
static public final Thing[] VALUES = { ... };
有人能告诉我这个安全漏洞是什么吗?
声明static final public
字段通常是类常量的标志。对于原始类型(如int、double等)和不可变类(例如字符串和java.awt.Color
),这是完全可以的。然而,对于数组而言,问题在于即使数组引用是常量,数组元素仍然可以被更改,并且由于它是一个字段,更改是不可防范、不受控制和通常不受欢迎的。
为了解决这个问题,可以将数组字段的可见性限制为私有或包私有,这样在寻找可疑修改时需要考虑的代码体积较小。另一种选择是完全放弃数组,使用“List”或其他适当的集合类型。通过使用集合,您可以控制是否允许更新,因为所有更新都通过方法进行。您可以通过使用Collections.unmodifiableList()
来包装集合以防止更新。但是请注意,即使集合是不可变的,您还必须确保存储在其中的类型也是不可变的,否则假定为常量的对象将面临意外更改的风险。
要理解为什么这是一个潜在的安全漏洞而不仅仅是差的封装,请考虑以下示例:
public class SafeSites {
// a trusted class with permission to create network connections
public static final String[] ALLOWED_URLS = new String[] {
"http://amazon.com", "http://cnn.com"};
// this method allows untrusted code to connect to allowed sites (only)
public static void doRequest(String url) {
for (String allowed : ALLOWED_URLS) {
if (url.equals(allowed)) {
// send a request ...
}
}
}
}
public class Untrusted {
// An untrusted class that is executed in a security sandbox.
public void naughtyBoy() {
SafeSites.ALLOWED_URLS[0] = "http://myporn.com";
SafeSites.doRequest("http://myporn.com");
}
}
正如你所看到的,错误地使用final数组意味着不受信任的代码可以破坏受信任代码/沙盒试图实施的限制。在这种情况下,这显然是一个安全问题。
如果你的代码不是安全关键应用程序的一部分,那么你可以忽略这个问题。但我认为这是一个不好的想法。将来你(或其他人)可能会在安全是一个问题的上下文中重用你的代码。无论如何,这就是作者称公共final数组为安全问题的原因。
Amber在评论中说了这句话:
如果你能以任何方式读取源代码和/或字节码,那么与私有没有什么区别...
这不是真的。
"坏人"可以使用源代码/字节码确定一个私有存在并且引用一个数组的事实不足以破坏安全性。坏人还必须将代码注入具有所需权限以使用反射的JVM中。这个权限在(正确实现的)安全沙箱中不可用于不受信任的代码运行。
一个外部类可以修改数组的内容,这可能不是您希望类的用户做的(您希望他们通过方法来完成)。听起来作者的意思是这违反了封装性,而不是安全性。
我猜想,声明此行的某人可能认为其他类无法修改数组内容,因为它被标记为final,但这是不正确的,final只阻止您重新分配属性。
public static final String[]
位于受信任的代码中,则这是一个安全问题。我认为作者的意思就是他所写的! - Stephen Cpublic static final String[] VALUES = { "a", "b" };
a.VALUES[0] = "changed value on index 0";
System.out.println(String.format("Result: %s", a.VALUES[0]));
我们得到了 结果:在索引0上更改了值
Joshua Bloch 建议返回数组的副本:
private static final String[] VALUES = { "a", "b" };
public static final String[] values()
{
return VALUES.clone();
}
a.values()[0] = "changed value on index 0";
System.out.println(String.format("Result: %s", a.values()[0]));
结果:a
,这正是我们想要实现的 - VALUES
是不可变的。同时,将原始值、字符串或其他不可变对象声明为public static final
也没有什么不好,例如:public static final int ERROR_CODE = 59;
。我认为这只是关于公共和私有的整体问题。最好的做法是将局部变量声明为私有,然后使用get和set方法,而不是直接访问它们。这样可以使它们在程序外部更难被篡改。就我所知,就是这些。
public static final String
是可以的,但一个public static final String[]
不行,因为数组的内容可以被改变。 - Stephen C因为final关键字只保证引用值(例如将其视为内存位置),而不是其中的内容。