SonarQube在我们的代码库中创建了一个问题:squid:S1948。
Serializable类中的字段本身必须是Serializable或transient,即使该类从未显式序列化或反序列化。这是因为在负载下,大多数J2EE应用程序框架将对象刷新到磁盘,并且涉及具有非瞬态,不可序列化数据成员的Serializable对象可能导致程序崩溃,并为攻击者打开大门。
春天也是如此吗?
我们正在使用javax.json.JsonObject未实现Serializable并解决此问题我们需要创建一些丑陋的readObject和writeObject方法,即使我们从未序列化那个班我们自己。