本文是來自Sun官方站點(diǎn)的一篇關(guān)于如何編寫安全的Java代碼的指南,開發(fā)者在編寫一般代碼時(shí)，可以參照本文的指南：

•        靜態(tài)字段
•        縮小作用域
•        公共方法和字段
•        保護(hù)包
•        equals方法
•        如果可能使對象不可改變
•        不要返回指向包含敏感數(shù)據(jù)的內(nèi)部數(shù)組的引用
•        不要直接存儲用戶提供的數(shù)組
•        序列化
•        原生函數(shù)
•        清除敏感信息

靜態(tài)字段
•        避免使用非final的公共靜態(tài)變量
應(yīng)盡可能地避免使用非final公共靜態(tài)變量，因?yàn)闊o法判斷代碼有無權(quán)限改變這些變量值。
•        一般地，應(yīng)謹(jǐn)慎使用易變的靜態(tài)狀態(tài)，因?yàn)檫@可能導(dǎo)致設(shè)想中相互獨(dú)立的子系統(tǒng)之間發(fā)生不可預(yù)知的交互。

縮小作用域
作為一個(gè)慣例，盡可能縮小方法和字段的作用域。檢查包訪問權(quán)限的成員能否改成私有的，保護(hù)類型的成員可否改成包訪問權(quán)限的或者私有的，等等。

公共方法/字段
避免使用公共變量，而是使用訪問器方法訪問這些變量。用這種方式，如果需要，可能增加集中安全控制。
對于任何公共方法，如果它們能夠訪問或修改任何敏感內(nèi)部狀態(tài)，務(wù)必使它們包含安全控制。
參考如下代碼段，該代碼段中不可信任代碼可能設(shè)置TimeZone的值：

private static TimeZone  defaultZone = null;

      public static synchronized void setDefault(TimeZone zone)
      {
          defaultZone = zone;
      }

保護(hù)包
有時(shí)需要在全局防止包被不可信任代碼訪問，本節(jié)描述了一些防護(hù)技術(shù)：
•        防止包注入：如果不可信任代碼想要訪問類的包保護(hù)成員，可以嘗試在被攻擊的包內(nèi)定義自己的新類用以獲取這些成員的訪問權(quán)。防止這類攻擊的方式有兩種：
1.        通過向java.security.properties文件中加入如下文字防止包內(nèi)被注入惡意類。

          ... 
package.definition=Package#1 [,Package#2,...,Package#n]

...

這會導(dǎo)致當(dāng)試圖在包內(nèi)定義新類時(shí)類裝載器的defineClass方法會拋出異常，除非賦予代碼一下權(quán)限：

... 
RuntimePermission("defineClassInPackage."+package)

...

2.        另一種方式是通過將包內(nèi)的類加入到封裝的Jar文件里。
（參看http://java.sun.com/j2se/sdk/1.2/docs/guide/extensions/spec.html）
    通過使用這種技巧，代碼無法獲得擴(kuò)展包的權(quán)限，因此也無須修改java.security.properties文件。
•        防止包訪問：通過限制包訪問并僅賦予特定代碼訪問權(quán)限防止不可信任代碼對包成員的訪問。通過向java.security.properties文件中加入如下文字可以達(dá)到這一目的：

      ... 
package.access=Package#1 [,Package#2,...,Package#n]

...

這會導(dǎo)致當(dāng)試圖在包內(nèi)定義新類時(shí)類裝載器的defineClass方法會拋出異常，除非賦予代碼一下權(quán)限：

... 
RuntimePermission("defineClassInPackage."+package)

...

如果可能使對象不可改變
如果可能，使對象不可改變。如果不可能，使得它們可以被克隆并返回一個(gè)副本。如果返回的對象是數(shù)組、向量或哈希表等，牢記這些對象不能被改變，調(diào)用者修改這些對象的內(nèi)容可能導(dǎo)致安全漏洞。此外，因?yàn)椴挥蒙湘i，不可改變性能夠提高并發(fā)性。參考Clear sensitive information了解該慣例的例外情況。

不要返回指向包含敏感數(shù)據(jù)的內(nèi)部數(shù)組的引用
該慣例僅僅是不可變慣例的變型，在這兒提出是因?yàn)槌３Ｔ谶@里犯錯(cuò)。即使數(shù)組中包含不可變的對象（如字符串），也要返回一個(gè)副本這樣調(diào)用者不能修改數(shù)組中的字符串。不要傳回一個(gè)數(shù)組，而是數(shù)組的拷貝。

不要直接在用戶提供的數(shù)組里存儲
該慣例僅僅是不可變慣例的另一個(gè)變型。使用對象數(shù)組的構(gòu)造器和方法，比如說PubicKey數(shù)組，應(yīng)當(dāng)在將數(shù)組存儲到內(nèi)部之前克隆數(shù)組，而不是直接將數(shù)組引用賦給同樣類型的內(nèi)部變量。缺少這個(gè)警惕，用戶對外部數(shù)組做得任何變動(dòng)（在使用討論中的構(gòu)造器創(chuàng)建對象后）可能意外地更改對象的內(nèi)部狀態(tài)，即使該對象可能是無法改變的

序列化
當(dāng)對對象序列化時(shí)，直到它被反序列化，它不在Java運(yùn)行時(shí)環(huán)境的控制之下，因此也不在Java平臺提供的安全控制范圍內(nèi)。
在實(shí)現(xiàn)Serializable時(shí)務(wù)必將以下事宜牢記在心：
•        transient

在包含系統(tǒng)資源的直接句柄和相對地址空間信息的字段前使用transient關(guān)鍵字。 如果資源，如文件句柄，不被聲明為transient，該對象在序列化狀態(tài)下可能會被修改，從而使得被反序列化后獲取對資源的不當(dāng)訪問。

•        特定類的序列化/反序列化方法

為了確保反序列化對象不包含違反一些不變量集合的狀態(tài)，類應(yīng)該定義自己的反序列化方法并使用ObjectInputValidation接口驗(yàn)證這些變量。

如果一個(gè)類定義了自己的序列化方法，它就不能向任何DataInput/DataOuput方法傳遞內(nèi)部數(shù)組。所有的DataInput/DataOuput方法都能被重寫。注意默認(rèn)序列化不會向DataInput/DataOuput字節(jié)數(shù)組方法暴露私有字節(jié)數(shù)組字段。

如果Serializable類直接向DataOutput(write(byte [] b))方法傳遞了一個(gè)私有數(shù)組，那么黑客可以創(chuàng)建ObjectOutputStream的子類并覆蓋write(byte [] b)方法，這樣他可以訪問并修改私有數(shù)組。下面示例說明了這個(gè)問題。
你的類:

      public class YourClass implements Serializable {

            private byte [] internalArray;
....
private synchronized void writeObject(ObjectOutputStream stream) {
 ...

               stream.write(internalArray);
                ...
}
}

黑客代碼

       public class HackerObjectOutputStream extends ObjectOutputStream{
            public void write (byte [] b) {
               Modify b
      }
}
 ...
             YourClass yc = new YourClass();
              ...

             HackerObjectOutputStream hoos = new HackerObjectOutputStream();

              hoos.writeObject(yc);

•        字節(jié)流加密

保護(hù)虛擬機(jī)外的字節(jié)流的另一方式是對序列化包產(chǎn)生的流進(jìn)行加密。字節(jié)流加密防止解碼或讀取被序列化的對象的私有狀態(tài)。如果決定加密，應(yīng)該管理好密鑰，密鑰的存放地點(diǎn)以及將密鑰交付給反序列化程序的方式等。

•        需要提防的其他事宜

如果不可信任代碼無法創(chuàng)建對象，務(wù)必確保不可信任代碼也不能反序列化對象。切記對對象反序列化是創(chuàng)建對象的另一途徑。
比如說，如果一個(gè)applet創(chuàng)建了一個(gè)frame，在該frame上創(chuàng)建了警告標(biāo)簽。如果該frame被另一應(yīng)用程序序列化并被一個(gè)applet反序列化，務(wù)必使該frame出現(xiàn)時(shí)帶有同一個(gè)警告標(biāo)簽。

原生方法
應(yīng)從以下幾個(gè)方面檢查原生方法：
•        它們返回什么
•        它們需要什么參數(shù)
•        它們是否繞過了安全檢查
•        它們是否是公共的，私有的等
•        它們是否包含能繞過包邊界的方法調(diào)用，從而繞過包保護(hù)

清除敏感信息
當(dāng)保存敏感信息時(shí)，如機(jī)密，盡量保存在如數(shù)組這樣的可變數(shù)據(jù)類型中，而不是保存在字符串這樣的不可變對象中，這樣使得敏感信息可以盡早顯式地被清除。不要指望Java平臺的自動(dòng)垃圾回收來做這種清除，因?yàn)榛厥掌骺赡懿粫宄@段內(nèi)存，或者很久后才會回收。盡早清除信息使得來自虛擬機(jī)外部的堆檢查攻擊變得困難。

摘自：http://www.matrix.org.cn/resource/article/2006-12-15/Java+Code+Security_199f1a70-8bf4-11db-ab77-2bbe780ebfbf.html