我的 dto 类中有以下代码。
public void setBillDate(Date billDate) {
this.billDate = billDate;
}
我在声纳中遇到了这样的错误,我不确定我在这里做错了什么。
Malicious code vulnerability - May expose internal representation by incorporating reference to mutable object
该类是一个dto,该方法是自动创建的setter方法。我在这里做错了什么。如果有人能解释一下。这将是一个很大的帮助。
最佳答案
日期是可变的
使用该 setter ,某人可以从外部无意中修改日期实例
考虑一下
class MyClass {
private Date billDate;
public void setBillDate(Date billDate) {
this.billDate = billDate;
}
}
现在有人可以设置它
MyClass m = new MyClass();
Date dateToBeSet = new Date();
m.setBillDate(dateToBeSet); //The actual dateToBeSet is set to m
dateToBeSet.setYear(...);
//^^^^^^^^ Un-intentional modification to dateToBeSet, will also modify the m's billDate
为避免这种情况,您可能需要在设置之前深复制
public void setBillDate(Date billDate) {
this.billDate = new Date(billDate.getTime());
}
关于java - 恶意代码漏洞 - 可能通过合并对可变对象的引用来暴露内部表示,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18954873/