內(nèi)容: 本文是來(lái)自Sun官方站點(diǎn)的一篇關(guān)于如何編寫安全的Java代碼的指南,開發(fā)者在編寫一般代碼時(shí)，可以參照本文的指南：• 靜態(tài)字段• 縮小作用域• 公共方法和字段• 保護(hù)包• equals方法• 如果可能使對(duì)象不可改變• 不要返回指向包含敏感數(shù)據(jù)的內(nèi)部數(shù)組的引用• 不要直接存儲(chǔ)用戶提供的數(shù)組• 序列化• 原生函數(shù)• 清除敏感信息靜態(tài)字段• 避免使用非final的公共靜態(tài)變量應(yīng)盡可能地避免使用非final公共靜態(tài)變量，因?yàn)闊o(wú)法判斷代碼有無(wú)權(quán)限改變這些變量值。• 一般地，應(yīng)謹(jǐn)慎使用易變的靜態(tài)狀態(tài)，因?yàn)檫@可能導(dǎo)致設(shè)想中相互獨(dú)立的子系統(tǒng)之間發(fā)生不可預(yù)知的交互。縮小作用域作為一個(gè)慣例，盡可能縮小方法和字段的作用域。檢查包訪問權(quán)限的成員能否改成私有的，保護(hù)類型的成員可否改成包訪問權(quán)限的或者私有的，等等。公共方法/字段避免使用公共變量，而是使用訪問器方法訪問這些變量。用這種方式，如果需要，可能增加集中安全控制。對(duì)于任何公共方法，如果它們能夠訪問或修改任何敏感內(nèi)部狀態(tài)，務(wù)必使它們包含安全控制。參考如下代碼段，該代碼段中不可信任代碼可能設(shè)置TimeZone的值：private static TimeZone defaultZone = null; public static synchronized void setDefault(TimeZone zone) { defaultZone = zone; }保護(hù)包有時(shí)需要在全局防止包被不可信任代碼訪問，本節(jié)描述了一些防護(hù)技術(shù)：• 防止包注入：如果不可信任代碼想要訪問類的包保護(hù)成員，可以嘗試在被攻擊的包內(nèi)定義自己的新類用以獲取這些成員的訪問權(quán)。防止這類攻擊的方式有兩種：1. 通過向java.security.properties文件中加入如下文字防止包內(nèi)被注入惡意類。 ... package.definition=Package#1 [,Package#2,...,Package#n]...這會(huì)導(dǎo)致當(dāng)試圖在包內(nèi)定義新類時(shí)類裝載器的defineClass方法會(huì)拋出異常，除非賦予代碼一下權(quán)限：... RuntimePermission('defineClassInPackage.'+package)...2. 另一種方式是通過將包內(nèi)的類加入到封裝的Jar文件里。（參看http://java.sun.com/j2se/sdk/1.2/docs/guide/extensions/spec.html） 通過使用這種技巧，代碼無(wú)法獲得擴(kuò)展包的權(quán)限，因此也無(wú)須修改java.security.properties文件。• 防止包訪問：通過限制包訪問并僅賦予特定代碼訪問權(quán)限防止不可信任代碼對(duì)包成員的訪問。通過向java.security.properties文件中加入如下文字可以達(dá)到這一目的： ... package.access=Package#1 [,Package#2,...,Package#n]...這會(huì)導(dǎo)致當(dāng)試圖在包內(nèi)定義新類時(shí)類裝載器的defineClass方法會(huì)拋出異常，除非賦予代碼一下權(quán)限：... RuntimePermission('defineClassInPackage.'+package)...如果可能使對(duì)象不可改變?nèi)绻赡埽箤?duì)象不可改變。如果不可能，使得它們可以被克隆并返回一個(gè)副本。如果返回的對(duì)象是數(shù)組、向量或哈希表等，牢記這些對(duì)象不能被改變，調(diào)用者修改這些對(duì)象的內(nèi)容可能導(dǎo)致安全漏洞。此外，因?yàn)椴挥蒙湘i，不可改變性能夠提高并發(fā)性。參考Clear sensitive information了解該慣例的例外情況。不要返回指向包含敏感數(shù)據(jù)的內(nèi)部數(shù)組的引用該慣例僅僅是不可變慣例的變型，在這兒提出是因?yàn)槌３Ｔ谶@里犯錯(cuò)。即使數(shù)組中包含不可變的對(duì)象（如字符串），也要返回一個(gè)副本這樣調(diào)用者不能修改數(shù)組中的字符串。不要傳回一個(gè)數(shù)組，而是數(shù)組的拷貝。不要直接在用戶提供的數(shù)組里存儲(chǔ)該慣例僅僅是不可變慣例的另一個(gè)變型。使用對(duì)象數(shù)組的構(gòu)造器和方法，比如說PubicKey數(shù)組，應(yīng)當(dāng)在將數(shù)組存儲(chǔ)到內(nèi)部之前克隆數(shù)組，而不是直接將數(shù)組引用賦給同樣類型的內(nèi)部變量。缺少這個(gè)警惕，用戶對(duì)外部數(shù)組做得任何變動(dòng)（在使用討論中的構(gòu)造器創(chuàng)建對(duì)象后）可能意外地更改對(duì)象的內(nèi)部狀態(tài)，即使該對(duì)象可能是無(wú)法改變的序列化當(dāng)對(duì)對(duì)象序列化時(shí)，直到它被反序列化，它不在Java運(yùn)行時(shí)環(huán)境的控制之下，因此也不在Java平臺(tái)提供的安全控制范圍內(nèi)。在實(shí)現(xiàn)Serializable時(shí)務(wù)必將以下事宜牢記在心：• transient在包含系統(tǒng)資源的直接句柄和相對(duì)地址空間信息的字段前使用transient關(guān)鍵字。 如果資源，如文件句柄，不被聲明為transient，該對(duì)象在序列化狀態(tài)下可能會(huì)被修改，從而使得被反序列化后獲取對(duì)資源的不當(dāng)訪問。• 特定類的序列化/反序列化方法為了確保反序列化對(duì)象不包含違反一些不變量集合的狀態(tài)，類應(yīng)該定義自己的反序列化方法并使用ObjectInputValidation接口驗(yàn)證這些變量。如果一個(gè)類定義了自己的序列化方法，它就不能向任何DataInput/DataOuput方法傳遞內(nèi)部數(shù)組。所有的DataInput/DataOuput方法都能被重寫。注意默認(rèn)序列化不會(huì)向DataInput/DataOuput字節(jié)數(shù)組方法暴露私有字節(jié)數(shù)組字段。如果Serializable類直接向DataOutput(write(byte [] b))方法傳遞了一個(gè)私有數(shù)組，那么黑客可以創(chuàng)建ObjectOutputStream的子類并覆蓋write(byte [] b)方法，這樣他可以訪問并修改私有數(shù)組。下面示例說明了這個(gè)問題。你的類: public class YourClass implements Serializable { private byte [] internalArray;....private synchronized void writeObject(ObjectOutputStream stream) { ... stream.write(internalArray); ...}}黑客代碼 public class HackerObjectOutputStream extends ObjectOutputStream{ public void write (byte [] b) { Modify b }} ... YourClass yc = new YourClass(); ... HackerObjectOutputStream hoos = new HackerObjectOutputStream(); hoos.writeObject(yc);• 字節(jié)流加密保護(hù)虛擬機(jī)外的字節(jié)流的另一方式是對(duì)序列化包產(chǎn)生的流進(jìn)行加密。字節(jié)流加密防止解碼或讀取被序列化的對(duì)象的私有狀態(tài)。如果決定加密，應(yīng)該管理好密鑰，密鑰的存放地點(diǎn)以及將密鑰交付給反序列化程序的方式等。• 需要提防的其他事宜如果不可信任代碼無(wú)法創(chuàng)建對(duì)象，務(wù)必確保不可信任代碼也不能反序列化對(duì)象。切記對(duì)對(duì)象反序列化是創(chuàng)建對(duì)象的另一途徑。比如說，如果一個(gè)applet創(chuàng)建了一個(gè)frame，在該frame上創(chuàng)建了警告標(biāo)簽。如果該frame被另一應(yīng)用程序序列化并被一個(gè)applet反序列化，務(wù)必使該frame出現(xiàn)時(shí)帶有同一個(gè)警告標(biāo)簽。原生方法應(yīng)從以下幾個(gè)方面檢查原生方法：• 它們返回什么• 它們需要什么參數(shù)• 它們是否繞過了安全檢查• 它們是否是公共的，私有的等• 它們是否包含能繞過包邊界的方法調(diào)用，從而繞過包保護(hù)清除敏感信息當(dāng)保存敏感信息時(shí)，如機(jī)密，盡量保存在如數(shù)組這樣的可變數(shù)據(jù)類型中，而不是保存在字符串這樣的不可變對(duì)象中，這樣使得敏感信息可以盡早顯式地被清除。不要指望Java平臺(tái)的自動(dòng)垃圾回收來(lái)做這種清除，因?yàn)榛厥掌骺赡懿粫?huì)清除這段內(nèi)存，或者很久后才會(huì)回收。盡早清除信息使得來(lái)自虛擬機(jī)外部的堆檢查攻擊變得困難。 Java, java, J2SE, j2se, J2EE, j2ee, J2ME, j2me, ejb, ejb3, JBOSS, jboss, spring, hibernate, jdo, struts, webwork, ajax, AJAX, mysql, MySQL, Oracle, Weblogic, Websphere, scjp, scjd 本文是來(lái)自Sun官方站點(diǎn)的一篇關(guān)于如何編寫安全的Java代碼的指南,開發(fā)者在編寫一般代碼時(shí)，可以參照本文的指南：•靜態(tài)字段•縮小作用域•公共方法和字段•保護(hù)包•equals方法•如果可能使對(duì)象不可改變•不要返回指向包含敏