Json序列化就是将数据对象转化为Json字符串。在序列化过程中抛弃了类型信息,所以反序列化时候只有提供类型信息才能准确的反序列化。 序列化通过会通过网络传输对象,而对象中往往有敏感信息,所以序列化常常成为黑客的攻击点,攻击者巧妙的利用反序列化过程构造恶意代码,使得程序在反序列化过程中执行任意代码。
Java工程中经常使用的Apache Commons Collections、Jackson、fastjson等都出现过反序列化漏洞。
有些对象的敏感属性不需要进行序列化传输,可以加transient关键字,避免把此属性信息转化为序列化的二进制流。
可以使用对称与非对称加密方式独立传输,再使用某个方法(自己写一个)把属性还原到对象中。