| 程序包 | 说明 |
|---|---|
| com.github.jarvisframework.tool.core.io |
| 限定符和类型 | 方法和说明 |
|---|---|
static <T> T |
IOUtils.readObj(ValidateObjectInputStream in,
Class<T> clazz)
从流中读取对象,即对象的反序列化,读取后不关闭流
此方法使用了
ValidateObjectInputStream中的黑白名单方式过滤类,用于避免反序列化漏洞通过构造 ValidateObjectInputStream,调用accept(Class[])
或者refuse(Class[])方法添加可以被序列化的类或者禁止序列化的类。 |
Copyright © 2020. All rights reserved.