Java 使用最小权限和签名或加密运行反序列化
我们正在使用java和springmvc。许多地方建议:Java 使用最小权限和签名或加密运行反序列化,java,security,Java,Security,我们正在使用java和springmvc。许多地方建议: 仅在访问权限受限的情况下运行反序列化代码 反序列化签名的数据 对于以有限权限运行,我想到的是使用doPrivilege()方法包装反序列化代码。但很多时候,SpringMVC只是为您执行反序列化,就像从web客户机的json输入创建java对象一样。 我们怎样才能强制执行限制特权呢 关于反序列化签名数据。这也不是我们通常做的事情。有什么最佳实践吗 谢谢
- 仅在访问权限受限的情况下运行反序列化代码
- 反序列化签名的数据