《Java编码指南:编写安全可靠程序的75条建议》—— 第1章 安全
本节书摘来异步社区《Java编码指南:编写安全可靠程序的75条建议》一书中的第1章,作者:【美】Fred Long(弗雷德•朗), Dhruv Mohindra(德鲁•莫欣达), Robert C.Seacord(罗伯特 C.西科德), Dean F.Sutherland(迪恩 F.萨瑟兰), David Svoboda(大卫•斯沃博达),更多章节内容可以访问云栖社区“异步社区”公众号查看。
第1章 安全Java编程语言及其运行时系统在最初被设计时就考虑到了安全性。例如,指针操纵对程序员来说是不可见的、隐式的,任何引用空指针的尝试都会导致抛出异常。相似地,如果对数组或者字符串的尝试访问超出了边界,那么也会导致异常。Java是一种强类型的语言,所有的隐式类型转换都定义得非常明确,而且与平台无关,算术类型及其转换也是如此。Java虚拟机(Java Virtual Machine,JVM)有一个内置的字节码校验器,可以确保被执行的字节码符合Java语言规范Java SE 7版(JLS),因此所有在语言中定义的检查都能生效,无一例外。
Java类加载器机制能够识别出那些被加载到JVM的类,并且能够区分出可信的系统类和不可信的其他类。通过对来自外部的类进行数字签名,可以为这些类赋予相应的特权;这些数字签名也能被类加载器检测到,从而有助于对类的识别。Java还提供了一个细粒度可扩展的安全机制,使程序员能够对其希望使用的资源进行访问控制,如系统信息、文件、网络套接字以及任何其他安全敏感性资源。这种安全机制需要一个运行时安全管理器,用于强制执行安全策略。安全管理器及其安全策略通常是通过命令行参数指定的,但有时也可以通过编程方式进行安装,前提是这样的动作没有被现有的安全策略所禁止。通过类加载器机制提供的识别功能,资源访问特权可以被扩展到非系统Java类中。
企业级Java应用程序容易受到攻击,因为它们接受不被信任的输入并与多个复杂的子系统进行交互。如果某个子系统易受注入攻击(如跨站脚本攻击[XSS]、XPath注入和LDAP注入)影响时,那么就可能导致整个系统都受到影响。一种有效缓解威胁的策略是:只接受白名单允许的输入;如果输入的值需要被渲染,那么要先对其进行编码或转义,然后再输出。
本章包含的指南重点关注如何确保基于Java的应用程序的安全。这些指南将覆盖以下4个方面。
(1)处理敏感数据。
(2)避免受到常见的注入攻击。
(3)被滥用并导致安全威胁的语言特性。
(4)Java细粒度安全机制的细节。
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。
【Java|多线程与高并发】 使用Thread 类创建线程的5种方法&&如何查看程序中的线程 多线程编程主要是为了更好地解决并发编程这个问题,因为创建销毁调度一个进程开销比较大(消耗资源多和速度慢),进程之所以开销比较大,主要是在 资源的分配和回收上 而线程也被称为 轻量级进程 ,因此在解决并发编程这个问题上,线程的创建销毁调度的更快一些.
异步社区 异步社区(www.epubit.com)是人民邮电出版社旗下IT专业图书旗舰社区,也是国内领先的IT专业图书社区,致力于优质学习内容的出版和分享,实现了纸书电子书的同步上架,于2015年8月上线运营。公众号【异步图书】,每日赠送异步新书。
相关文章
- Java-强引用、软引用、弱引用、虚引用
- java gc的考察
- Java 开发环境配置--eclipse工具进行java开发
- java web mysql.jar java.lang.ClassNotFoundException: com.mysql.jdbc.Driver
- Java实现 LeetCode 801 使序列递增的最小交换次数 (DP)
- java实现第七届蓝桥杯方格填数
- java实现立方和等式
- Java实现算法提高十进制数转八进制数
- Java 蓝桥杯 算法训练 字符串的展开 (JAVA语言实现)
- Java 蓝桥杯 算法训练 字符串的展开 (JAVA语言实现)
- java IO之 字符流 (字符流 = 字节流 + 编码表) 装饰器模式
- Java的一些基本术语
- java 11 标准Java异步HTTP客户端
- Java -【转】 Java基础词汇表
- java 11 标准Java异步HTTP客户端
- 【JAVA】 04-Java中的多线程
- JAVA实现Base64编码的三种方式
- 使用Java标准的java.util.EventListener实现观察者-发布者设计模式
- Atitit java播放器调音速率快慢的实现 目录 1.1. 原理 本质上是改变采样率即可1 2. 使用Java增加/降低AudioInputStream的音频播放速度(Increase/dec
- atitit.Atitit.检测文本文件的编码 java 与php版 。Net
- java中TCP传输协议
- java unicode编程
- 【Java】java 性能监控及工具
- Java中使用Jackson,对JSON和对象进行转换
- java常用的几种线程池比较
- JAVA对于程序的运行的一种解说
- Filebeat收集JAVA堆报错日志