启动类加载器可以抢在标准扩展类加载器之前去装载类,而标准扩展类装载器可以抢在类路径加载器之前去加载那个类,类路径装载器又可以抢在自定义类装载器之前去加载类。所以Java虚拟机先从最可信的Java核心API查找类型,这是为了防止不可信的类扮演被信任的类。
加载顺序:启动类加载器 标准扩展类加载器 类路径加载器 自定义类装载器
假设网络中有一个名为java.lang.Integer的类,他是黑客在为了混进java.lang包所起的名字,实际上里面还有恶意代码,但是这种伎俩在双亲模式加载体系结构下是行不通的,因为网络加载器在加载他的时候,首先调用双亲的加载器,这样一直委托上去,直到启动类加载器,而启动类加载器在核心Java API发现这个名字的类,所以他就只加载Java核心API的java.lang.Integer类,然后将这个类返回,所以自始至终网络上的java.lang.Integer是不会被加载的。
但是如果这个移动代码不是试图去替换一个被信任的类,而是想在一个被信任的包中插入一个全新的类型,情况会怎么样呢?比如一个名为java.lang.Virus的类,经过双亲委托模式,最终类装载器会让网络类加载器加载这个类,因为网络类加载器的双亲都没有这个类。假设成功的加载这个类,你肯定在想Virus和Integer都在java.lang包下面,暗示这个类是Java API的一部分,那么不是也有修改Java.lang包中数据的权限呢?答案当然不是,因为要取得访问和修改java.lang包中的权限,java.lang.Virus和java.lang下的其他类必须是属于同一个运行时包的。运行时包是指由同一个类装载器装载的、属于同一个包的、多个类型的集合。java.lang.Virus和java.lang下的其他类不是同一个类装载器装载的。