內(nèi)容: 本文是來自Sun官方站點(diǎn)的一篇關(guān)于如何編寫安全的Java代碼的指南,開發(fā)者在編寫一般代碼時，可以參照本文的指南：• 靜態(tài)字段• 縮小作用域• 公共方法和字段• 保護(hù)包• equals方法• 如果可能使對象不可改變• 不要返回指向包含敏感數(shù)據(jù)的內(nèi)部數(shù)組的引用• 不要直接存儲用戶提供的數(shù)組• 序列化• 原生函數(shù)• 清除敏感信息靜態(tài)字段• 避免使用非final的公共靜態(tài)變量應(yīng)盡可能地避免使用非final公共靜態(tài)變量，因為無法判斷代碼有無權(quán)限改變這些變量值。• 一般地，應(yīng)謹(jǐn)慎使用易變的靜態(tài)狀態(tài)，因為這可能導(dǎo)致設(shè)想中相互獨(dú)立的子系統(tǒng)之間發(fā)生不可預(yù)知的交互。縮小作用域作為一個慣例，盡可能縮小方法和字段的作用域。檢查包訪問權(quán)限的成員能否改成私有的，保護(hù)類型的成員可否改成包訪問權(quán)限的或者私有的，等等。公共方法/字段避免使用公共變量，而是使用訪問器方法訪問這些變量。用這種方式，如果需要，可能增加集中安全控制。對于任何公共方法，如果它們能夠訪問或修改任何敏感內(nèi)部狀態(tài)，務(wù)必使它們包含安全控制。參考如下代碼段，該代碼段中不可信任代碼可能設(shè)置TimeZone的值：private static TimeZone defaultZone = null; public static synchronized void setDefault(TimeZone zone) { defaultZone = zone; }保護(hù)包有時需要在全局防止包被不可信任代碼訪問，本節(jié)描述了一些防護(hù)技術(shù)：• 防止包注入：如果不可信任代碼想要訪問類的包保護(hù)成員，可以嘗試在被攻擊的包內(nèi)定義自己的新類用以獲取這些成員的訪問權(quán)。防止這類攻擊的方式有兩種：1. 通過向java.security.properties文件中加入如下文字防止包內(nèi)被注入惡意類。 ... package.definition=Package#1 [,Package#2,...,Package#n]...這會導(dǎo)致當(dāng)試圖在包內(nèi)定義新類時類裝載器的defineClass方法會拋出異常，除非賦予代碼一下權(quán)限：... RuntimePermission('defineClassInPackage.'+package)...2. 另一種方式是通過將包內(nèi)的類加入到封裝的Jar文件里。（參看http://java.sun.com/j2se/sdk/1.2/docs/guide/extensions/spec.html） 通過使用這種技巧，代碼無法獲得擴(kuò)展包的權(quán)限，因此也無須修改java.security.properties文件。• 防止包訪問：通過限制包訪問并僅賦予特定代碼訪問權(quán)限防止不可信任代碼對包成員的訪問。通過向java.security.properties文件中加入如下文字可以達(dá)到這一目的： ... package.access=Package#1 [,Package#2,...,Package#n]...這會導(dǎo)致當(dāng)試圖在包內(nèi)定義新類時類裝載器的defineClass方法會拋出異常，除非賦予代碼一下權(quán)限：... RuntimePermission('defineClassInPackage.'+package)...如果可能使對象不可改變?nèi)绻赡埽箤ο蟛豢筛淖儭Ｈ绻豢赡埽沟盟鼈兛梢员豢寺〔⒎祷匾粋€副本。如果返回的對象是數(shù)組、向量或哈希表等，牢記這些對象不能被改變，調(diào)用者修改這些對象的內(nèi)容可能導(dǎo)致安全漏洞。此外，因為不用上鎖，不可改變性能夠提高并發(fā)性。參考Clear sensitive information了解該慣例的例外情況。不要返回指向包含敏感數(shù)據(jù)的內(nèi)部數(shù)組的引用該慣例僅僅是不可變慣例的變型，在這兒提出是因為常常在這里犯錯。即使數(shù)組中包含不可變的對象（如字符串），也要返回一個副本這樣調(diào)用者不能修改數(shù)組中的字符串。不要傳回一個數(shù)組，而是數(shù)組的拷貝。不要直接在用戶提供的數(shù)組里存儲該慣例僅僅是不可變慣例的另一個變型。使用對象數(shù)組的構(gòu)造器和方法，比如說PubicKey數(shù)組，應(yīng)當(dāng)在將數(shù)組存儲到內(nèi)部之前克隆數(shù)組，而不是直接將數(shù)組引用賦給同樣類型的內(nèi)部變量。缺少這個警惕，用戶對外部數(shù)組做得任何變動（在使用討論中的構(gòu)造器創(chuàng)建對象后）可能意外地更改對象的內(nèi)部狀態(tài)，即使該對象可能是無法改變的序列化當(dāng)對對象序列化時，直到它被反序列化，它不在Java運(yùn)行時環(huán)境的控制之下，因此也不在Java平臺提供的安全控制范圍內(nèi)。在實現(xiàn)Serializable時務(wù)必將以下事宜牢記在心：• transient在包含系統(tǒng)資源的直接句柄和相對地址空間信息的字段前使用transient關(guān)鍵字。 如果資源，如文件句柄，不被聲明為transient，該對象在序列化狀態(tài)下可能會被修改，從而使得被反序列化后獲取對資源的不當(dāng)訪問。• 特定類的序列化/反序列化方法為了確保反序列化對象不包含違反一些不變量集合的狀態(tài)，類應(yīng)該定義自己的反序列化方法并使用ObjectInputValidation接口驗證這些變量。如果一個類定義了自己的序列化方法，它就不能向任何DataInput/DataOuput方法傳遞內(nèi)部數(shù)組。所有的DataInput/DataOuput方法都能被重寫。注意默認(rèn)序列化不會向DataInput/DataOuput字節(jié)數(shù)組方法暴露私有字節(jié)數(shù)組字段。如果Serializable類直接向DataOutput(write(byte [] b))方法傳遞了一個私有數(shù)組，那么黑客可以創(chuàng)建ObjectOutputStream的子類并覆蓋write(byte [] b)方法，這樣他可以訪問并修改私有數(shù)組。下面示例說明了這個問題。你的類: public class YourClass implements Serializable { private byte [] internalArray;....private synchronized void writeObject(ObjectOutputStream stream) { ... stream.write(internalArray); ...}}黑客代碼 public class HackerObjectOutputStream extends ObjectOutputStream{ public void write (byte [] b) { Modify b }} ... YourClass yc = new YourClass(); ... HackerObjectOutputStream hoos = new HackerObjectOutputStream(); hoos.writeObject(yc);• 字節(jié)流加密保護(hù)虛擬機(jī)外的字節(jié)流的另一方式是對序列化包產(chǎn)生的流進(jìn)行加密。字節(jié)流加密防止解碼或讀取被序列化的對象的私有狀態(tài)。如果決定加密，應(yīng)該管理好密鑰，密鑰的存放地點(diǎn)以及將密鑰交付給反序列化程序的方式等。• 需要提防的其他事宜如果不可信任代碼無法創(chuàng)建對象，務(wù)必確保不可信任代碼也不能反序列化對象。切記對對象反序列化是創(chuàng)建對象的另一途徑。比如說，如果一個applet創(chuàng)建了一個frame，在該frame上創(chuàng)建了警告標(biāo)簽。如果該frame被另一應(yīng)用程序序列化并被一個applet反序列化，務(wù)必使該frame出現(xiàn)時帶有同一個警告標(biāo)簽。原生方法應(yīng)從以下幾個方面檢查原生方法：• 它們返回什么• 它們需要什么參數(shù)• 它們是否繞過了安全檢查• 它們是否是公共的，私有的等• 它們是否包含能繞過包邊界的方法調(diào)用，從而繞過包保護(hù)清除敏感信息當(dāng)保存敏感信息時，如機(jī)密，盡量保存在如數(shù)組這樣的可變數(shù)據(jù)類型中，而不是保存在字符串這樣的不可變對象中，這樣使得敏感信息可以盡早顯式地被清除。不要指望Java平臺的自動垃圾回收來做這種清除，因為回收器可能不會清除這段內(nèi)存，或者很久后才會回收。盡早清除信息使得來自虛擬機(jī)外部的堆檢查攻擊變得困難。 Java, java, J2SE, j2se, J2EE, j2ee, J2ME, j2me, ejb, ejb3, JBOSS, jboss, spring, hibernate, jdo, struts, webwork, ajax, AJAX, mysql, MySQL, Oracle, Weblogic, Websphere, scjp, scjd 本文是來自Sun官方站點(diǎn)的一篇關(guān)于如何編寫安全的Java代碼的指南,開發(fā)者在編寫一般代碼時，可以參照本文的指南：•靜態(tài)字段•縮小作用域•公共方法和字段•保護(hù)包•equals方法•如果可能使對象不可改變•不要返回指向包含敏