从 Java 9 反向移植对象反序列化过滤器

JEP 290 让开发人员可以在反序列化对象时对传入数据进行过滤。该提案最初是针对 Java 9 提出的，但现在已经反向移植到Java 6、7、8 。该特性提供了一种机制，可以在处理对象输入流时过滤传入数据，并且可以帮助预防反序列化漏洞。前不久，这种漏洞曾影响了Apache Commons 及其他库。

反序列化不可信任数据是开放Web 应用安全项目（OWASP）和 CERT Oracle Coding Standard for Java （尤其是规则 SER12-J 和 SER13-J ）等所列出的一个众所周知的风险。软件开发人员应该总是检查通过ObjectInputStream传入的数据是否有效，不过，借助 JDK 中现有的工具，这有时候并不容易实现。JEP 290 改变了这种情况，它提供了一种方法过滤传入数据，而且不需要扩展ObjectInputStream。这是通过多种机制实现的，取决于相关开发人员的需要。

一般来说，开发人员可以通过编辑系统属性jdk.serialFilter或者conf/security/java.properties中的安全属性jdk.serialFilter配置默认的 ObjectInputFilter 。这些属性可以接受一种或多种模式，用于查找类（使用类似 Ant 文件模式的语法），或者设置对反序列化对象属性的限制：

 
// 拒绝反序列化任何属于 untrustedmodule 的类，
// 以及任何元素数超过 500 的数组
jdk.serialFilter=!untrustedmodule/.**;maxarray=500 
 
// 包 com.myorg.trusted 的白名单类，
// 但不一定是来自子包
jdk.serialFilter=com.myorg.trusted.* 
 

如果需要更大的灵活性，那么开发人员可以指定自己的动作和检查，实现自己的 ObjectInputFilter ，然后使用 setObjectInputFilter 应用到已有的ObjectInputStream。ObjectInputFilter可以使用 ObjectInputFilter.FilterInfo 提供的信息确定当前正在反序列化的对象是可以接受还是需要拒绝，或者该过滤器并没有提供足够的决策信息；在后一种情况下，自定义的过滤器可以将状态置为“不确定”，并委托另一个用户定义的过滤器或者默认的系统过滤器进行决策。

最后，如果开发人员希望在所有的反序列化过程中都使用自己的机制，就可以使用 ObjectInputFilter.Config.setSerialFilter 将一个用户定义的过滤器指定为系统默认的过滤器。

如本文开头所言，开发人员不需要等到 Java 9 才开始应用序列化过滤器；Java 8 update 121、Java 7 update 131、Java 6 update 141 均提供了 JEP 290。

查看英文原文： Object Deserialisation Filters Backported from Java 9