Code Correctness: Incorrect serialPersistentFields Modifier

Java/JSP

Abstract

要正确使用 serialPersistentFields，必须将其声明为 private、static 和 final。

Explanation

Java 对象序列化规范 (Java Object Serialization Specification) 允许开发人员通过在 serialPersistentFields 数组中指定类的可序列化的字段来手动定义这些字段。仅当 serialPersistentFields 被声明为 private、static 和 final 时，此功能才能运行。

示例 1：以下 serialPersistentFields 的声明将不会用来定义 Serializable 字段，因为它不是 private、static 和 final。


class List implements Serializable {
public ObjectStreamField[] serialPersistentFields = { new ObjectStreamField("myField", List.class) };
...
}

References

[1] Sun Microsystems, Inc. Java Sun Tutorial

[2] SERIAL-2: Guard sensitive data during serialization Oracle

[3] Standards Mapping - Common Weakness Enumeration CWE ID 485

desc.structural.java.code_correctness_incorrect_serialpersistentfields_modifier