我对项目进行了安全扫描,并遇到以下问题-
包含敏感数据的可序列化类
解决方案是
在Java中,显式定义最终的writeObject()以防止序列化。这是推荐的解决方案。定义writeObject()函数以引发显式拒绝序列化的异常。
扫描中指出的问题之一:
Map<String,String> creditCardDetails;
我怀疑我们能否做到这一点?实际上,我们可能要求对象进行序列化并通过网络传递。我无法进行加密。就时间而言,这可能也很昂贵。
我们可以为此进行讨论吗?
-
如何执行此操作?
-
在什么情况下我们可以这样做?
-
还有其他解决方法吗?