- 2025年05月13日
- 星期二
dawei
如果我的代码对反序列化对象的状态或类没有任何假设,或者只是反序列化的行为会导致不期望的操作,那么可以安全地反序列化不受信任的数据吗? (威胁模型:攻击者可以自由修改序列化数据,但这是他能做的) 反序列化本身已经可以不安全了.一个可序列化的类可以定义
如果我的代码对反序列化对象的状态或类没有任何假设,或者只是反序列化的行为会导致不期望的操作,那么可以安全地反序列化不受信任的数据吗? (威胁模型:攻击者可以自由修改序列化数据,但这是他能做的) 反序列化本身已经可以不安全了.一个可序列化的类可以定义