Java中的对象反序列化可以将字节流恢复为内存中的对象实例,这个过程如果被攻击者利用,构造恶意序列化数据就能触发危险操作。ObjectInputStream是处理反序列化的核心类,结合反序列化过滤器可以在反序列化阶段对对象类型进行校验,从根源上拦截恶意对象注入。
反序列化攻击的基本原理
当程序使用ObjectInputStream读取不可信的字节流时,会自动调用对象的readObject方法完成反序列化。如果攻击者构造包含危险类实例的序列化数据,且类路径中存在可利用的危险类,就可能在反序列化过程中执行恶意逻辑,比如调用Runtime执行系统命令。
ObjectInputStream与反序列化过滤器的工作机制
ObjectInputStream负责从输入流中读取序列化数据并重建对象,而反序列化过滤器是Java 9之后引入的防护机制,可以在反序列化过程中对每个要还原的类进行校验,决定是否允许该类被反序列化。
过滤器通过返回Status.ALLOWED、Status.REJECTED或Status.UNDECIDED来决定对象的处理结果,其中REJECTED会直接终止反序列化流程,抛出InvalidClassException。
配置反序列化过滤器的实现步骤
1. 创建自定义过滤器
可以通过实现ObjectInputFilter接口来定义过滤规则,只允许白名单内的类通过反序列化。
import java.io.ObjectInputFilter;
import java.io.ObjectInputFilter.Status;
public class SafeObjectFilter implements ObjectInputFilter {
// 定义允许反序列化的类白名单
private static final String[] ALLOWED_CLASSES = {"com.example.User", "java.lang.String", "java.util.ArrayList"};
@Override
public Status checkInput(FilterInfo filterInfo) {
// 获取当前要反序列化的类名
String className = filterInfo.serialClass() == null ? null : filterInfo.serialClass().getName();
if (className == null) {
return Status.UNDECIDED;
}
// 校验类名是否在白名单中
for (String allowed : ALLOWED_CLASSES) {
if (className.equals(allowed) || className.startsWith(allowed + "$")) {
return Status.ALLOWED;
}
}
// 不在白名单中的类直接拒绝
return Status.REJECTED;
}
}
2. 给ObjectInputStream设置过滤器
创建ObjectInputStream实例后,通过setObjectInputFilter方法绑定自定义过滤器,之后进行的反序列化操作都会经过过滤器校验。
import java.io.ByteArrayInputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.util.ArrayList;
public class DeserializeDemo {
public static void main(String[] args) throws Exception {
// 模拟正常的序列化数据
ArrayList<String> data = new ArrayList<>();
data.add("test");
byte[] serializeData;
try (ByteArrayOutputStream bos = new ByteArrayOutputStream();
ObjectOutputStream oos = new ObjectOutputStream(bos)) {
oos.writeObject(data);
serializeData = bos.toByteArray();
}
// 反序列化时设置过滤器
try (ByteArrayInputStream bis = new ByteArrayInputStream(serializeData);
ObjectInputStream ois = new ObjectInputStream(bis)) {
// 绑定自定义过滤器
ois.setObjectInputFilter(new SafeObjectFilter());
Object result = ois.readObject();
System.out.println("反序列化成功,结果:" + result);
} catch (Exception e) {
System.out.println("反序列化被拦截:" + e.getMessage());
}
}
}
3. 全局过滤器配置(可选)
如果需要全局生效,可以通过系统属性配置全局过滤器,避免每个ObjectInputStream单独设置。
import java.io.ObjectInputFilter;
public class GlobalFilterConfig {
public static void configGlobalFilter() {
// 配置全局过滤器,只允许指定包下的类反序列化
ObjectInputFilter globalFilter = ObjectInputFilter.Config.createFilter(
"com.example.**;java.lang.String;java.util.ArrayList;!*"
);
ObjectInputFilter.Config.setObjectInputFilter(globalFilter);
}
}
防护注意事项
- 白名单范围要尽量小,只添加业务确实需要反序列化的类,避免扩大攻击面。
- 不要依赖黑名单过滤,因为危险类数量众多,很难完全覆盖,白名单机制更可靠。
- 对于来自不可信来源的输入流,即使设置了过滤器,也需要做好异常处理,避免异常信息泄露敏感内容。
- 如果使用的Java版本低于9,没有内置的反序列化过滤器,可以考虑升级JDK,或者使用第三方防护组件替代。
常见问题排查
如果反序列化时抛出java.io.InvalidClassException: Filter mismatch,说明当前反序列化的类被过滤器拒绝,需要检查白名单配置是否包含该类。
如果过滤器返回UNDECIDED,ObjectInputStream会使用父过滤器或者全局过滤器继续校验,直到得到明确的结果。
ObjectInputStream反序列化过滤器恶意对象注入Java安全修改时间:2026-06-09 00:45:17