可序列化类的所有子类型本身都是可序列化的。
换句话说:您曾经创建,曾经或将要创建的 所有 类都可以序列化。
transient仅排除字段,不包括整个类。
DataSource如果此特定
DataSource实现的创建者忘记创建此类字段,则这是一个潜在的安全漏洞-
碰巧,您可以在内部使用数据库凭据进行序列化
transient。序列化随机Java对象非常容易,例如通过内部类持有对外部的隐式引用
this。
使用您明确希望并允许进行序列化的类的白名单,这比使用仔细检查代码的安全性更高,以确保没有您不希望的字段被序列化。
而且,您不能再说:
MySuperSecretClass不可序列化(通过简单地不实现
Serializable)-您只能排除胆量(字段)。
