我的dto类中有以下代码。
public void setBillDate(Date billDate) {
this.billDate = billDate;
}
我在这样的声纳中得到一个错误,我不确定在这里做错了什么。
Malicious code vulnerability - May expose internal representation by incorporating reference to mutable object
该类是dto,该方法是自动创建的setter方法。我在这里做错了什么。如果有人可以解释。这将是一个很大的帮助。
最佳答案
Date是可变的
使用该 setter ,某人可以从外部无意中修改日期实例
考虑一下
class MyClass {
private Date billDate;
public void setBillDate(Date billDate) {
this.billDate = billDate;
}
}
现在有人可以设置它
MyClass m = new MyClass();
Date dateToBeSet = new Date();
m.setBillDate(dateToBeSet); //The actual dateToBeSet is set to m
dateToBeSet.setYear(...);
//^^^^^^^^ Un-intentional modification to dateToBeSet, will also modify the m's billDate
为避免这种情况,您可能需要在设置之前先深度复制
public void setBillDate(Date billDate) {
this.billDate = new Date(billDate.getTime());
}