JEP 290是 oracle提供已一套JAVA反序列化机制，其并不是一种必须被强制执行的策略，而是需要程序员或者运维人员进行开发与启用。关于该机制的优缺点借用老外的一篇文章

https://dzone.com/articles/a-first-look-into-javas-new-serialization-filterin

中文版可以参考

https://blog.csdn.net/caiqiiqi/article/details/104270776

该机制提供了三种防御策略，分别是全局过滤器、自定义过滤器以及内置过滤器

全局过滤器

该过滤器可以通过三种方法进行启用，

1. 启动应用时通过指定参数-Djdk.serialFilter=<白名单类1>;<白名单类2>;!<黑名单类>
2. 设置环境变量$JAVA_HOME/jre/lib/security/java.security
3. 启动时指定策略文件-Djava.security.properties=<黑白名单配置文件名>
   关于java.security文件提供了主要提供了两种策略，一种是限制类调用的深度与数量，二是通过黑白名单进行限制
   

自定义过滤器

程序员可在编码是使用ObjectInputStreamFilter指定反序列化黑白名单
ObjectInputFilter filesOnlyFilter = ObjectInputFilter.Config.createFilter("de.mogwailabs.Example;!*");

内置过滤器

其实第一张图里面就是一些内置过滤器，当然截图不全，如果要启动去掉注释即可

JEP 290 初识相关推荐

1. java 反序列化 ysoserial exploit/JRMPClient 原理剖析

   目录 0 前言 1 payloads/JRMPListener 1.1 payload生成 1.2 gadget链分析 2 使用RMIRegistryExploit攻击上述开启的监听 3 exploi ...

2. Log4j2漏洞发展历程及解决方案

   背景 最近互联网技术圈最火的一件事莫过于Log4j2的漏洞了.同时也涌现出了各类分析文章,关于漏洞的版本.漏洞的原因.漏洞的修复.程序员因此加班等等. 经常看我文章的朋友都知道,面对这样热门有意思的技 ...

3. JDK19都出来了~是时候梳理清楚JDK的各个版本的特性了【JDK17特性讲解】

   JDK各个版本特性讲解-JDK17特性 一.JAVA17概述   JDK 16 刚发布半年(2021/03/16),JDK 17 又如期而至(2021/09/14),这个时间点特殊,蹭苹果发布会的热度 ...

4. how-I-hacked-Facebook-again-unauthenticated-RCE-on-MobileIron-MDM笔记

   参考:https://devco.re/blog/2020/09/12/how-I-hacked-Facebook-again-unauthenticated-RCE-on-MobileIron-MD ...

5. Java平台，标准版Oracle JDK 9中的新功能

   Java平台,标准版 Oracle JDK 9中的新增功能 版本9 E77563-05 2017年9月 JDK 9中的新功能概述 Java Platform,Standard Edition 9是一个 ...

6. Java RMI反序列化/JEP290相关

   RMI 远程过程调用 (Remote Procedure Call)是一种服务器-客户端模式, Java的RMI(Remote Method Invocation)是一种RPC实现. 其基本思想是程序 ...

7. JDK9-17新特性

   文章目录 环境准备 JAVA9 概述 一 语法层次的改变 1_钻石操作符号语法升级 2_try结构语法升级 3_下划线命名标识符的使用限制 二 API层次的改变 1_接口中的私有方法 2_String ...

8. 1.第一章 Java基础语法 第一节（一）初识java

   初识java 1.java的发展史 1.1.起源 1.2.演变 2.Java体系与特点 2.1java的体系 2.2java的应用 2.3java的特性 3.JVM,JDK,JRE与GC 3.1jav ...

9. 初识 MySQL 数据库

   初识 MySQL 数据库 引言 一.MySQL 数据库 二.MySQL 服务器的结构 三.数据库行和列的概念 四.SQL 语句 五.数据库操作 1. 显示数据库 2. 创建数据库 3. 选中数据库 4 ...

10. day3----编码-集合-深浅copy-文件操作-函数初识

    day3----编码-集合-深浅copy-文件操作-函数初识 本文档主要内容: 一 编码 二 集合 三 深浅copy 四 文件操作 五 函数初识 首先,我们来看看两个字符串的比较 打开cmd,进入do ...

最新文章

1. python画有权重网络图_python networkx 根据图的权重画图实现
2. linux systemd 服务管理脚本简介
3. CentOS 6.3开机自动挂载磁盘和文件夹
4. 蓝桥杯-队列操作（java）
5. 织梦首页html在哪儿,dedecms织梦首页去index.html
6. 可怕！微软AI：一张面部照片一段音频，完美生成头像演讲视频
7. 什么是 Python 自省？
8. python 两点曲线_python机器学习分类模型评估
9. Webservice学习之——即时发布与定制发布
10. 作业 20181016-1 Alpha阶段贡献分配规则
11. 时间序列（一）：时间序列数据与时间序列预测模型
12. C++ +GDAL计算遥感影像植被指数
13. ipython 安装
14. 【渝粤题库】陕西师范大学165104 组织行为学原理 作业（高起专）
15. cocos2d音效设置
16. 6 errors and 0 warnings potentially fixable with the `--fix` option.
17. java获取京东token_京东宙斯平台使用方法（accesstoken，appkey，appsecret参数和SDK的获取）...
18. 共享租车平台“车便利租车”完成A轮融资
19. Tcp/Udp端口对照表
20. Python 正则表达式+字符串分割（数字/字母/汉字/特殊字符）

热门文章

1. linux安装mysql菜鸟教程_Linux安装mysql教程
2. matlab的gaot在哪里,最权威遗传算法工具箱GAOT(gaot)安装方法
3. eeprom和编程器固件 k2_斐讯K2编程器刷breed换固件小白教程
4. DSP 基于 TMS320F2803x 的 I2C 上的 PMBus 的软件应用
5. 软考资料合集/软考真题合集（软件设计师/网络工程师/系统分析师/系统架构师/软件测评师/程序员等）
6. 移动html5 滑动 zepto,移动端使用zepto编写的滑动事件
7. 【产品】产品经理手册
8. AD18的安装教程（包括资料）
9. (7)雅思屠鸭第七天：阅读中538个考点词一网打尽
10. ai人工智能让女神_让女孩进入人工智能管道