0

Java でシリアライズされたオブジェクトのクラスをデシリアライズせずに確実に識別する必要があります。

これまでのところ、生データ ストリームにクラス名が含まれていることがわかりました。ただし、誰かが任意の名前でカスタム クラスを作成して、認識をだますことができます。

現在、オブジェクトの保存データもテンプレートと照合するシステムの実装を検討していますが、これは面倒です。

すでにこれを行うパッケージはありますか、および/またはシリアル化された Java オブジェクトのクラスを確実に識別するためのより簡単な方法はありますか?

4

1 に答える 1

1

JavaAssist(http://www.csg.ci.iu-tokyo.ac.jp/~chiba/javassist/)を見たことがありますか?クラスファイルのメタデータをロードして、必ずしもクラスを作成しなくても利用できるようになっているようです。

于 2012-11-07T01:14:53.433 に答える