Code Correctness: Incorrect serialPersistentFields Modifier

Java/JSP

Abstract

若要正確使用 serialPersistentFields，就必須將其宣告為private、static 及 final。

Explanation

Java Object Serialization Specification 可讓開發人員藉由在 serialPersistentFields 陣列中指定類別的可序列化欄位來手動定義這些欄位。這項功能只有在宣告 serialPersistentFields 為 private、static 以及 final 時才有效。

範例 1：不會使用下列 serialPersistentFields 的宣告來定義 Serializable 欄位，因為欄位不是 private、static 以及 final。


class List implements Serializable {
public ObjectStreamField[] serialPersistentFields = { new ObjectStreamField("myField", List.class) };
...
}

References

[1] Sun Microsystems, Inc. Java Sun Tutorial

[2] SERIAL-2: Guard sensitive data during serialization Oracle

[3] Standards Mapping - Common Weakness Enumeration CWE ID 485

desc.structural.java.code_correctness_incorrect_serialpersistentfields_modifier