2.9 不安全的反序列化 (Insecure Deserialization)

文档摘要

2.9 不安全的反序列化 (Insecure Deserialization) 2.9 不安全的反序列化 (Insecure Deserialization) 2.9.1 概念与原理在现代软件开发中，对象序列化（Serialization）是将内存中的对象转换为一个可存储或可传输的数据格式（如字节流、字符串等）的过程。反序列化（Deserialization）则是将这些数据格式恢复为内存中对象的过程。这两种机制广泛应用于数据持久化、跨进程通信、缓存、消息队列等场景。例如，当一个Web应用需要将会话状态保存到文件或数据库时，可能会将代表用户会话的对象进行序列化；当需要恢复会话时，再进行反序列化。或者在微服务架构中，服务之间通过消息队列交换包含对象数据的消息时，也会用到序列化和反序列化。