为什么可以通过重写resolveClass来白名单防御java反序列化

前言

很多反序列化的防御都是在resolveClass中限制了白名单或者黑名单来控制反序列化,今天探究其原理。

在将字节码恢复为类的过程中,调用了resolveClass方法,而这个resolveClass方法如果被重写的话,调用的就是重写类的resolvceClass。

我们如果在重写的resolvceClass中写入如上代码,即可控制需要恢复类的名称。

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

huahua<br><br>虚心学习,不断进步。