如何在反序列化之前验证对象流的内容？

Question

我们正在尝试实现安全的应用程序框架，作为其中的一部分，为了在反序列化之前避免拒绝服务攻击，我们希望知道有多少对象正在被反序列化，并在超过阈值时中止反序列化。

为了满足上述需求，我搜索了一些论坛，了解到有一些实现java序列化的方法，即

resolveClass(ObjectStreamClass desc)
resolveObject(Object obj)

但是我没有得到任何关于这两个methods.Can的文档或示例，有人给我发了帖子，或者给出了一些关于这些方法/定制反序列化的简要信息

Answer 1

您正在寻找的两种方法都在java.io.ObjectInputStream类(link)中。IBM有一篇很好的文章解释了前瞻Java反序列化here。基本上，您可以子类化java.io.ObjectInputStream并覆盖resolveClass()方法，以验证要反序列化的类是否为您所期望的类，如下所示：

public class LookAheadObjectInputStream extends ObjectInputStream {

    public LookAheadObjectInputStream(InputStream inputStream)
            throws IOException {
        super(inputStream);
    }

    /**
     * Only deserialize instances of our expected Bicycle class
     */
    @Override
    protected Class<?> resolveClass(ObjectStreamClass desc) throws IOException,
            ClassNotFoundException {
        if (!desc.getName().equals(Bicycle.class.getName())) {
            throw new InvalidClassException(
                    "Unauthorized deserialization attempt",
                    desc.getName());
        }
        return super.resolveClass(desc);
    }
}