我需要在不反序列化的情况下可靠地识别 Java 中序列化对象的类。
到目前为止,我发现原始数据流将包含类名。然而,有人可以创建一个具有任意名称的自定义类来欺骗识别。
现在我正在考虑实现一个系统,其中还根据模板检查对象的存储数据,但这似乎很麻烦。
是否有已经这样做的包和/或是否有更简单的方法来可靠地识别序列化 Java 对象的类?
问问题
90 次
我需要在不反序列化的情况下可靠地识别 Java 中序列化对象的类。
到目前为止,我发现原始数据流将包含类名。然而,有人可以创建一个具有任意名称的自定义类来欺骗识别。
现在我正在考虑实现一个系统,其中还根据模板检查对象的存储数据,但这似乎很麻烦。
是否有已经这样做的包和/或是否有更简单的方法来可靠地识别序列化 Java 对象的类?