Java安全可以从反序列化漏洞说起,反序列化漏洞又可以从反射说起。反射是⼤多数语⾔⾥都必不可少的组成部分,对象可以通过反射获取到它的类,类还可以通过反射拿到所有⽅法,也包括私有方法,拿到的⽅法可以进行调⽤,总之通过“反射”,我们可以将Java这种静态语⾔附加上动态特性。
反射机制允许程序在执行期借助于ReflectionAPI取得任何类的内部信息,比如成员变量、构造器、成员方法等等,并且能操作对象的属性及方法。加载完类后,在堆中就产生了一个Class类型的对象,一个类中只有一个Class对象,但是在这个对象中包含了类的所有完整结构信息。通过这个对象得到类的结构。为了便于理解,在这里为大家画一下Java反射机制原理示意图。如下:
然后现在我们来做一个小小的总结,在Java反射机制中我们可以完成:在运行时判断任意一个对象所属的类;还能够在运行时构造任意一个类的对象;能够在运行时得到任意一个类所具有的成员变量和方法;可以在运行时调用任意一个对象的成员变量和方法;还能够自动生成动态代理。