★ Java代码说明:
f.setAccessible(true):1、提高性能2、访问私有private变量的时候
Accessable属性是继承自AccessibleObject 类. 功能是启用或禁用安全检查 (实际上setAccessible是启用和禁用访问安全检查的开关,并不是为true就能访问为false就不能访问的意思 )。
A、提高性能
由于JDK的安全检查耗时较多.所以通过setAccessible(true)的方式关闭安全检查就可以达到提升反射速度的目的 。使用了method.setAccessible(true)后,性能有了20倍的提升。
B、访问私有private变量的时候
java代码中,常常将一个类的成员变量置为private,在类的外面获取此类的私有成员变量的value时,需要注意setAccessible(true),否则或报错:can not access a member of.......
一般情况下,我们并不能对类的私有字段进行操作,利用反射也不例外,但有的时候,例如要序列化的时候,我们又必须有能力去处理这些字段,这时候,我们就需要调用AccessibleObject上的setAccessible()方法来允许这种访问,而由于反射类中的Field,Method和Constructor继承自AccessibleObject,因此,通过在这些类上调用setAccessible()方法,我们可以实现对这些字段的操作。
代码示例:
Class cls = object.getClass(); Field[] fields = cls.getDeclaredFields(); //getDeclaredFields()返回Class中所有的字段,包括私有字段。//getFields 只返回公共字段,即有public修饰的字段。 for (Field field : fields) { field.setAccessible(true); map.put(field.getName(), field.get(object)); }
★ 代码审计 解释说明:
JDK API中的解释 :
1、AccessibleObject 类是 Field、Method 和 Constructor 对象的基类。它提供了将反射的对象标记为在使用时取消默认 Java 语言访问控制检查的能力。
2、对于公共成员、默认(打包)访问成员、受保护成员和私有成员,在分别使用 Field、Method 或 Constructor 对象来设置或获得字段、调用方法,或者创建和初始化类的新实例的时候,会执行访问检查。
AccessibleObject类 允许程序员绕过 由Java访问说明符提供的 访问控制(access control)检查,特别是他让程序员能够允许 反射对象绕过 Java access control,并反过来更改私有字段或调用私有方法、行为,这些通常情况下都是不允许的。
个人觉得只要Field.setAccessible(true)之后,Class中所有的字段,包括私有字段也可以有访问权限,这样的反射会改变JAVA的结构,
甚至你的代码可维护性,你完全可以 改别的代码里面的值 ,所以通过反射能做一些让你无法想象的东西。最好可以避免这样的设置,以增强代码的安全性,减少其脆弱性及缺陷。
★ 修复建议:
只能使用攻击者无法设置的参数,通过有权限的类更改访问说明符。所有出现的访问说明符都应该仔细检查。
————————————————
参考文章: