IBM MQ classes for JMS/Jakarta Messaging 中的允许列表

Java 对象序列化和反序列化机制已识别为潜在的安全风险。 IBM® MQ classes for JMS 和 IBM MQ classes for Jakarta Messaging 中的允许列表提供了一些针对某些序列化风险的保护。

关于本任务

Java 对象序列化和反序列化机制已被标识为潜在的安全风险，因为反序列化会实例化任意 Java 对象，在这些对象中可能存在恶意发送数据以导致各种问题的情况。一个值得注意的序列化应用程序是在 Jakarta Messaging 3.0 和 Java Message Service 2.0 ObjectMessages 中使用序列化来封装和传输任意对象。

序列化允许列表可能会降低序列化造成的某些风险。通过明确指定哪些类可以封装到 ObjectMessage 或可以从中抽取哪些类，允许列表可防范部分序列化风险。