1つのObjectInputStreamでカスタム・フィルタを設定できます。または、すべてのストリームに同じフィルタを適用するには、JVM全体のフィルタを設定します。ObjectInputStreamにフィルタが定義されていない場合は、JVM全体のフィルタが呼び出されます(ある場合)。

ストリームのデコード中に、次のアクションが発生します。

• ストリーム内の新規オブジェクトごとに、およびオブジェクトがインスタンス化され、デシリアライズされる前に、初めてクラスが検出されたときにフィルタが呼び出されます。(同じクラスの後続のインスタンスはフィルタされません。)
• ストリーム内のクラスごとに、フィルタが解決されたクラスとともに呼び出されます。これは、ストリーム内のスーパータイプおよびインタフェースごとに個別に呼び出されます。
• フィルタは、作成されるオブジェクトのクラス、それらのクラスのスーパータイプ、そのインタフェースなど、ストリーム内で参照される各クラスを調査できます。
• ストリームの配列ごとに、プリミティブ配列、文字配列またはオブジェクト配列のいずれであっても、配列クラスおよび配列長を指定したフィルタが呼び出されます。
• ストリームから読み取られたオブジェクトへの参照ごとに、深さ、参照の数およびストリーム長をチェックできるフィルタが呼び出されます。深さは1から始まり、ネスト・オブジェクトごとに増加し、ネストされた呼出しが戻されるたびに減少します。
• フィルタは、ストリームで具体的にエンコードされているプリミティブ・インスタンスまたはjava.lang.Stringインスタンスの場合は呼び出されません。
• フィルタは、受入れ、拒否または未決定のステータスを戻します。
• ロギングが有効になっている場合は、フィルタ・アクションがログに記録されます。

フィルタによってオブジェクトが拒否されない場合、オブジェクトは受け入れられます。

ストリームへの入力が信頼されず、フィルタにクラスの限定セットがあったり、制約が施行される場合、個別のObjectInputStreamにフィルタを設定できます。たとえば、ストリームに数値、文字列およびその他のアプリケーションに固有のタイプのみが確実に含まれるようにできます。

setObjectInputFilterメソッドを使用して、カスタム・フィルタが設定されます。オブジェクトがストリームから読み取られる前にカスタム・フィルタを設定する必要があります。

次の例では、setObjectInputFilter メソッドがdateTimeFilterメソッドを使用して呼び出されます。このフィルタは、java.timeパッケージのクラスのみを受け入れます。dateTimeFilterメソッドは、メソッドとしてのカスタム・フィルタの設定のコード・サンプルで定義されています。

    LocalDateTime readDateTime(InputStream is) throws IOException {
        try (ObjectInputStream ois = new ObjectInputStream(is)) {
            ois.setObjectInputFilter(FilterClass::dateTimeFilter);
            return (LocalDateTime) ois.readObject();
        } catch (ClassNotFoundException ex) {
            IOException ioe = new StreamCorruptedException("class missing");
            ioe.initCause(ex);
            throw ioe;
        }
    }

特定のストリームでオーバーライドされないかぎり、ObjectInputStreamのすべての使用に適用されるJVM全体のフィルタを設定できます。アプリケーション全体で必要とされるすべてのタイプと条件を識別できる場合、フィルタはこれらを受け入れ、残りを拒否できます。通常、JVM全体のフィルタを使用して、特定のクラスまたはパッケージを拒否したり、配列サイズ、グラフ深度または合計グラフ・サイズを制限します。

JVM全体のフィルタは、ObjectInputFilter.Configクラスのメソッドを使用して1回設定されます。フィルタは、クラスのインスタンス、ラムダ式、メソッド参照またはパターンにすることができます。

ObjectInputFilter filter = ...
ObjectInputFilter.Config.setSerialFilter(filter);

次の例では、JVM全体のフィルタがラムダ式を使用して設定されます。

ObjectInputFilter.Config.setSerialFilter(
    info -> info.depth() > 10 ? Status.REJECTED : Status.UNDECIDED);

次の例では、JVM全体のフィルタがメソッド参照を使用して設定されます:

ObjectInputFilter.Config.setSerialFilter(FilterClass::dateTimeFilter);

単純なケースに役立つパターン・ベースのカスタム・フィルタは、ObjectInputFilter.Config.createFilterメソッドを使用して作成できます。システム・プロパティまたはセキュリティ・プロパティとしてパターン・ベースのフィルタを作成できます。メソッドまたはラムダ式としてパターン・ベースのフィルタを実装すると、柔軟性が向上します。

フィルタ・パターンはクラス、パッケージおよびモジュールの特定の名前を受け入れたり、拒否でき、配列サイズ、グラフ深度、合計参照およびストリーム・サイズに制限を設定できます。パターンは、クラスのスーパータイプまたはインタフェースの名前と一致させることができません。

ObjectInputFilter filesOnlyFilter =
    ObjectInputFilter.Config.createFilter("example.File;!example.Directory");

ObjectInputFilter filesOnlyFilter =
    ObjectInputFilter.Config.createFilter("example.File;!*");

カスタム・フィルタは、java.io.ObjectInputFilterインタフェースを実装するクラス、ラムダ式またはメソッドとして実装できます。

通常、フィルタはステートレスで、入力パラメータに対してのみチェックを実行します。ただし、たとえば、ストリーム内のアーティファクトをカウントするcheckInputメソッドへの呼出し間の状態を維持するフィルタを実装できます。

次の例では、FilterNumberクラスはNumberクラスのインスタンスであるオブジェクトを許可し、その他すべてを拒否します。

    class FilterNumber implements ObjectInputFilter {
        public Status checkInput(FilterInfo filterInfo) {
            Class<?> clazz = filterInfo.serialClass();
            if (clazz != null) {
                return (Number.class.isAssignableFrom(clazz))
                    ? ObjectInputFilter.Status.ALLOWED
                    : ObjectInputFilter.Status.REJECTED;
            }
            return ObjectInputFilter.Status.UNDECIDED;
        }
    }

この例では次のようになります。

• checkInputメソッドはObjectInputFilter.FilterInfoオブジェクトを受け入れます。オブジェクトのメソッドは、チェック対象のクラス、配列サイズを、現在の深さ、既存のオブジェクトへの参照の数およびこれまでに読み取られたストリーム・サイズへのアクセスを提供します。
• serialClassがnullでない場合は、値がチェックされて、オブジェクトのクラスがNumberであるかどうかが確認されます。その場合は、受け入れられ、ObjectInputFilter.Status.ALLOWEDが返されます。それ以外の場合は、拒否され、ObjectInputFilter.Status.REJECTEDが返されます。
• 引数のその他の組合せでは、ObjectInputFilter.Status.UNDECIDEDが返されます。デシリアライズは続行され、オブジェクトが受け入れられるか拒否されるまで、残りのフィルタが実行されます。他のフィルタがない場合、オブジェクトは受け入れられています。

カスタム・フィルタもメソッドとして実装できます。メソッド参照はインライン・ラムダ式のかわりに使用されます。

次の例で定義されるdateTimeFilterメソッドは、個別のストリームのカスタム・フィルタの設定のコード・サンプルで使用されています。

    public class FilterClass {
        static ObjectInputFilter.Status dateTimeFilter(ObjectInputFilter.FilterInfo info) {
            Class<?> serialClass = info.serialClass();
            if (serialClass != null) {
                return serialClass.getPackageName().equals("java.time")
                        ? ObjectInputFilter.Status.ALLOWED
                        : ObjectInputFilter.Status.REJECTED;
            }
            return ObjectInputFilter.Status.UNDECIDED;
        }
    }

このカスタム・フィルタは、JDKのベース・モジュールにあるクラスのみを許可します:

        static ObjectInputFilter.Status baseFilter(ObjectInputFilter.FilterInfo info) {
            Class<?> serialClass = info.serialClass();
            if (serialClass != null) {
                return serialClass.getModule().getName().equals("java.base")
                        ? ObjectInputFilter.Status.ALLOWED
                        : ObjectInputFilter.Status.REJECTED;
            }
            return ObjectInputFilter.Status.UNDECIDED;
       }

ObjectInputFilterインタフェースには、フィルタを迅速に作成できる次の静的メソッドが含まれています:

• allowFilter(Predicate<Class<?>>, ObjectInputFilter.Status)
• rejectFilter(Predicate<Class<?>>, ObjectInputFilter.Status)
• rejectUndecidedClass(ObjectInputFilter)
• merge(ObjectInputFilter, ObjectInputFilter)

allowFilterメソッドは、引数としてClassを取得するPredicateに基づいてフィルタを作成します。述語がtrueの場合、作成されたフィルタはObjectInputFilter.Status.ALLOWEDを返します。それ以外の場合は、allowFilterメソッドの2番目の引数の値を返します。次に、Integerクラスを受け入れるフィルタを作成します。他のすべてのクラスは未決定とみなされます:

ObjectInputFilter intFilter = ObjectInputFilter.allowFilter(
    cl -> cl.equals(Integer.class), ObjectInputFilter.Status.UNDECIDED);

rejectFilterメソッドは、allowFilterの逆です。Classを引数として取るPredicateに基づいてフィルタを作成します。述語がtrueの場合、作成されたフィルタはObjectInputFilter.Status.REJECTEDを返します。それ以外の場合は、rejectFilterメソッドの2番目の引数の値を返します。次に、アプリケーション・クラス・ローダーからロードされたクラスを拒否するフィルタを作成します:

ObjectInputFilter f = ObjectInputFilter.rejectFilter(cl ->
    cl.getClassLoader() == ClassLoader.getSystemClassLoader(), Status.UNDECIDED);

rejectUndecidedClassメソッドは、既存のフィルタが未決定クラスとみなすクラスを拒否することで、既存のフィルタに基づいて新しいフィルタを作成します。次に、intFilterに基づいてフィルタを作成します。Integerクラスを受け入れますが、他のすべての(未決定の)クラスを拒否します:

ObjectInputFilter rejectUndecidedFilter =
    ObjectInputFilter.rejectUndecidedClass(intFilter);

mergeメソッドは、2つのフィルタをマージして新しいフィルタを作成します。次に、フィルタintFilterとfをマージします。Integerクラスを受け入れますが、アプリケーション・クラス・ローダーからロードされたすべてのクラスを拒否します:

ObjectInputFilter mergedFilter = ObjectInputFilter.merge(intFilter, f);

マージされたフィルタは、クラスをフィルタする際に次のステップに従います:

1. いずれかのフィルタがStatus.REJECTEDを返す場合は、Status.REJECTEDを返します。
2. いずれかのフィルタがStatus.ACCEPTEDを返す場合は、Status.ACCEPTEDを返します。
3. Status.UNDECIDEDを返します(両方のフィルタはStatus.UNDECIDEDを返します)。

mergeメソッドは、フィルタ・ファクトリで役立ちます。ストリームでフィルタが設定されるたびに、そのフィルタを、mergeメソッドを使用してフィルタ・ファクトリが作成するフィルタに追加できます。例については、ObjectInputFilter APIのドキュメントを参照してください。

メソッドObjectInputFilter.Config.setSerialFilterFactoryを呼び出してフィルタ・ファクトリを設定すると、ObjectInputStreamが構築されたとき、およびストリーム固有のフィルタがObjectInputStreamに設定されたときに、フィルタ・ファクトリのメソッドBinaryOperator<ObjectInputFilter>.apply(ObjectInputFilter t, ObjectInputFilter u)が呼び出されます。パラメータtは現在のフィルタで、uはリクエストされたフィルタです。applyが最初に呼び出されたとき、tはnullになります。JVM全体のフィルタが設定されている場合、applyが最初に呼び出されたとき、uはJVM全体のフィルタになります。それ以外の場合、uはnullになります。applyメソッド(自分で実装する必要がある)は、ストリームに使用されるフィルタを返します。applyが再度呼び出された場合、パラメータtはこの返されたフィルタになります。メソッドObjectInputStream.setObjectInputFilter(ObjectInputFilter)を使用してフィルタを設定すると、パラメータuがこのフィルタになります。

次の例では、applyメソッドが呼び出されるたびにObjectInputFilterパラメータを出力する単純なフィルタ・ファクトリを実装し、これらのパラメータを1つの結合フィルタにマージしてから、このマージ済フィルタを返します。

public class SimpleFilterFactory {

    static class MySimpleFilterFactory implements BinaryOperator<ObjectInputFilter> {
        public ObjectInputFilter apply(
            ObjectInputFilter curr, ObjectInputFilter next) {
            System.out.println("Current filter: " + curr);
            System.out.println("Requested filter: " + next);
            return ObjectInputFilter.merge(next, curr);
        }
    }            
   
    private static byte[] createSimpleStream(Object obj) {
        ByteArrayOutputStream boas = new ByteArrayOutputStream();
        try (ObjectOutputStream ois = new ObjectOutputStream(boas)) {
            ois.writeObject(obj);
            return boas.toByteArray();
        } catch (IOException ioe) {
            ioe.printStackTrace();
        }
        throw new RuntimeException();        
    }
            
    public static void main(String[] args) throws IOException {
        
        // Set a filter factory
        
        MySimpleFilterFactory contextFilterFactory = new MySimpleFilterFactory();
        ObjectInputFilter.Config.setSerialFilterFactory(contextFilterFactory);          
        
        // Set a stream-specific filter
        
        ObjectInputFilter filter1 =
            ObjectInputFilter.Config.createFilter("example.*;java.base/*;!*");
        ObjectInputFilter.Config.setSerialFilter(filter1);

        // Create another filter        
        
        ObjectInputFilter intFilter = ObjectInputFilter.allowFilter(
          cl -> cl.equals(Integer.class), ObjectInputFilter.Status.UNDECIDED);        
          
        // Create input stream
          
        byte[] intByteStream = createSimpleStream(42);
        InputStream is = new ByteArrayInputStream(intByteStream);
        ObjectInputStream ois = new ObjectInputStream(is);
        ois.setObjectInputFilter(intFilter);
        
        try {
            Object obj = ois.readObject();
            System.out.println("Read obj: " + obj);
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }
}

この例では、次のような出力が表示されます(わかりやすくするために改行が追加されています):

Current filter: null
Requested filter: example.*;java.base/*;!*
Current filter: example.*;java.base/*;!*
Requested filter:
    merge(
        predicate(
            SimpleFilterFactory$$Lambda$8/0x0000000800c00c60@76ed5528,
            ifTrue: ALLOWED, ifFalse: UNDECIDED),
        predicate(
            SimpleFilterFactory$$Lambda$9/0x0000000800c01800@2c7b84de,
            ifTrue: REJECTED, ifFalse: UNDECIDED))
Read obj: 42

applyメソッドは2回呼び出されます。ObjectInputStream oisが作成されたとき、およびメソッドsetObjectInputFilterが呼び出されたときです。

コマンド行のjdk.serialFilterFactoryシステム・プロパティで指定することで、1つのアプリケーションおよびJavaの単一の呼出しにのみ適用されるフィルタ・ファクトリを設定できます:

java -Djdk.serialFilterFactory=FilterFactoryClassName YourApplication

jdk.serialFilterFactoryの値は、最初のデシリアライズ前に設定されるフィルタ・ファクトリのクラス名です。クラスはパブリックであり、アプリケーション・クラス・ローダー(メソッドjava.lang.ClassLoader.getSystemClassLoader()が返す)からアクセスできる必要があります。

セキュリティ・プロパティで指定することで、$JAVA_HOMEからJavaランタイムで実行されるすべてのアプリケーションに影響を与えるJVM全体のフィルタ・ファクトリを設定できます。システム・プロパティは、セキュリティ・プロパティの値よりも優先されます。ファイル$JAVA_HOME/conf/security/java.securityを編集し、jdk.serialFilterFactoryセキュリティ・プロパティでフィルタ・ファクトリのクラス名を指定します。