-2
在effective java中声明的项目:在需要时制作防御副本,不使用克隆方法制作一个参数的防御副本,其类型可由不受信任的子副本派对。在创建防御副本时创建新对象而不是克隆
我无法理解这实际上是什么意思。
A
回答
2
下面是该书在该部分中突出显示的关注。
public MyOtherClass implements Cloneable {
public Object clone() {
super.clone();
}
}
public MyOtherClass {
private MyClass m;
public MyOtherClass(MyClass m) {
this.m = m.clone(); // Defensive copy.
}
}
public SneakyClass extends MyClass {
public clone() {
return this; // !!!!!!
}
}
通过传递SneakyClass实例到MyOtherClass构造,有人能打败的防守副本的构造函数试图做的。如您所见,覆盖clone()不会返回目标对象的副本。
(在这种情况下的解决方案,如果申报MyClass作为final或声明MyClass.clone()为final。)
1
你所谈论的是介绍如何正确地实现一个不可变类的项目。
全款说:
还请注意,我们没有使用日期的克隆方法,使防守副本。因为Date是非终结的,所以克隆方法不保证返回一个类为java.util.Date的对象;它可能会返回专门为恶意恶作剧设计的不可信子类的实例。例如,这样的子类可以在其创建时记录对私有静态列表中每个实例的引用,并允许攻击者访问该列表。这会让攻击者自由掌控所有实例。为了防止这种攻击,不使用克隆方法来制作其类型可由不受信任方进行分类的参数的防御副本。
要显示什么款的其余部分被描述,想象一个clone方法做:
public class Foo implements Cloneable {
private int bar;
private static List<Foo> secretList = new ArrayList<>();
public Foo(int bar) { this.bar = bar; }
@Override
public Foo clone() {
Foo copy = new Foo(this.bar);
secretList.add(copy); // this is the line of concern
return copy;
}
}
现在Foo类仍然可以访问它创建的实例,这意味着它可以恶意修改该实例即使它是不可变类的成员。
+0
长话短说*克隆对象总是根据原始对象的变化进行修改,这是一个坏主意* – emotionlessbananas
相关问题
- 1. 创建该对象的“克隆”,而不是指向它
- 2. 如何在Smart Client中创建新对象或克隆ListGrid
- 3. AngularJS $资源创建新的对象,而不是更新对象
- 4. 如何创建PSObject对象的新克隆实例
- 5. 如何创建对象的副本?
- 6. 创建包裹对象的副本
- 7. 创建对象本身的新副本的一些新特性
- 8. 创建一个抽象类的克隆
- 9. 我如何在java中创建对象的副本,而不是指针
- 10. 创建副本
- 11. 创建Reddit/Digg /黑客新闻克隆
- 12. 如何声明对象,而不是创建新对象?
- 13. swaping集防御性副本
- 14. 创建新对象时ArrayIndexOutOfBounds?
- 15. Django - 更新视图,创建新的对象,而不是更新,
- 16. 如何在基类中创建对象的克隆?
- 17. 预防对象类创建
- 18. 是否存在无法创建深层副本的对象?
- 19. 如何更新用户对象而不创建新对象?
- 20. RestKit在上传之后创建新对象而不是更新现有对象
- 21. findOrCreate创建副本
- 22. Sed创建副本
- 23. 创建对象的副本,而不是在新的多处理进程中重新初始化
- 24. 如何在不创建副本的情况下返回对象?
- 25. 对象在创建新对象时覆盖本身
- 26. 在Android中创建视图的克隆
- 27. jquery克隆。点击事件不会触发新创建的克隆行
- 28. 在SQL Server中创建没有数据的表的克隆副本
- 29. 如何制作对象的防御副本?
- 30. 如何创建一些对象的克隆已更改?
如果第三方为你的班级分类,你不知道'clone()'可能会做什么。对于大多数项目来说,这会担心某些不太可能成为问题的事情,但是对于JDK来说,这是他们必须关注的事情。 –