开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Javafx SimpleStringProperty反序列化抛出IllegalStateException:未读的块数据

Javafx SimpleStringProperty是JavaFX中的一个类，用于在JavaFX应用程序中绑定和管理字符串属性。它提供了一种方便的方式来处理字符串属性的变化，并且可以与界面元素进行绑定，实现数据的双向绑定。

在反序列化过程中，如果尝试反序列化一个包含SimpleStringProperty的对象，并且该属性未被正确读取，就会抛出IllegalStateException异常。这通常是因为在反序列化时，SimpleStringProperty的值没有被正确地读取或设置。

为了解决这个问题，可以采取以下步骤：

确保在序列化和反序列化过程中，SimpleStringProperty的值被正确地读取和设置。可以通过在类中实现自定义的序列化和反序列化方法来控制属性的读取和设置过程。
在序列化和反序列化过程中，确保SimpleStringProperty对象的状态是一致的。这意味着在序列化之前，应该将SimpleStringProperty的值设置为正确的初始值，并在反序列化后重新设置属性的值。
如果可能的话，可以考虑使用其他可序列化的字符串属性类，如StringProperty，而不是SimpleStringProperty。这些类在序列化和反序列化过程中可能更容易处理。

总结起来，要解决Javafx SimpleStringProperty反序列化抛出IllegalStateException异常的问题，需要确保正确读取和设置属性的值，并保持对象状态的一致性。在处理序列化和反序列化过程中，需要注意属性的读取和设置，并确保使用可序列化的字符串属性类。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

浅析weblogic 反序列化漏洞

先引用一下奇安信团队发出的weblogic历史漏洞图，可以发现以反序列化为主，反序列化问题主要来自XMLDecoder和T3协议

01

用一个 case 去理解 jdk8u20 原生反序列化漏洞

jdk8u20原生反序列化漏洞是一个非常经典的漏洞，也是我分析过最复杂的漏洞之一。

02

JAVA安全编码标准学习分享

以下内容摘取自《JAVA安全编码标准》，略做修改和补充解释，这是一个把书读薄和知识串通的过程

01

Netty Review - Netty与Protostuff：打造高效的网络通信

每日一博 - Protobuf vs. Protostuff：性能、易用性和适用场景分析

01

Java程序员必备：序列化全方位解析

如果想在JVM停止后，把这些对象保存到磁盘或者通过网络传输到另一远程机器，怎么办呢？磁盘这些硬件可不认识Java对象，它们只认识二进制这些机器语言，所以我们就要把这些对象转化为字节数组，这个过程就是序列化啦~

02

从Gson 的一个著名Bug说起

Gson是一个源自谷歌的JSON序列化/反序列化框架，出身名门，社区活跃，因此被广泛应用。

03

使用Protostuff实现序列化与反序列化

Google Protocol Buffer( 简称 Protobuf) 是 Google 公司内部的混合语言数据标准，目前已经正在使用的有超过 48,162 种报文格式定义和超过 12,183 个 .proto 文件。他们用于 RPC 系统和持续数据存储系统。

03

如何优雅的使用缓存？

在之前的文章中你应该知道的缓存进化史介绍了爱奇艺的缓存架构和缓存的进化历史。俗话说得好，工欲善其事，必先利其器，有了好的工具肯定得知道如何用好这些工具，本篇将介绍如何利用好缓存。

02

Exp-Tools！高危漏洞利用工具1.2.5

该工具使用了ExpDemo-JavaFX项目，保留了核心的数据包请求接口，使用jdk1.8环境开发。目前只编写了oa系列，对相关漏洞进行复现和分析，极力避免exp的误报和有效性。

01

带你了解Java的序列化（Serializable）与反序列化

序列化过程: 是指把一个Java对象变成二进制内容，实质上就是一个byte[]数组。因为序列化后可以把byte[]保存到文件中，或者把byte[]通过网络传输到远程（IO），这样，就相当于把Java对象存储到文件或者通过网络传输出去了。

03

特殊数据格式处理-JSON框架Jackson精解第2篇

Jackson是Spring Boot默认的JSON数据处理框架，但是其并不依赖于任何的Spring 库。有的小伙伴以为Jackson只能在Spring框架内使用，其实不是的，没有这种限制。它提供了很多的JSON数据处理方法、注解，也包括流式API、树模型、数据绑定，以及复杂数据类型转换等功能。它虽然简单易用，但绝对不是小玩具，本节为大家介绍Jackson的基础核心用法，更多的内容我会写成一个系列，5-10篇文章，请您继续关注我。

02

通讯协议序列化解读（二） protostuff详解教程

上一篇文章通讯协议序列化解读（一）：http://www.cnblogs.com/tohxyblog/p/8974641.html 前言：上一面文章我们介绍了java序列化，以及谷歌protobuf，但是由于protobuf的使用起来并不像其他序列化那么简单（首先要写.proto文件，然后编译.proto文件，生成对应的.java文件），所以即使他是如何的优秀，也还是没能抢占json的份额。这篇文章我们要介绍的是一款基于protobuf的java序列化协议——prorostuff，在java端能极大的

04

序列化与ArrayList 的elementData的修饰关键字transient

transient用来表示一个域不是该对象序行化的一部分，当一个对象被序行化的时候，transient修饰的变量不会被序列化

02

fastjson<=1.2.68 漏洞分析

自2017年3月15日 fastjson 1.2.24版本被爆出反序列化漏洞以来，其就成为了安全人员中的重点研究对象，即使后来 fastjson 为了安全设置了checkAutoType 防御机制，也依旧没能完全杜绝新的漏洞产生，结合今日BlackHat 大会上玄武实验室的《How i use json deserialization》议题，来看看这个漏洞。

03

序列化和反序列化的底层实现原理是什么？

序列化和反序列化作为Java里一个较为基础的知识点，大家心里也有那么几句要说的，但我相信很多小伙伴掌握的也就是那么几句而已，如果再深究问一下Java如何实现序列化和反序列化的，就可能不知所措了！遥记当年也被问了这一个问题，自信满满的说了一大堆，什么是序列化、什么是反序列化、什么场景的时候才会用到等，然后面试官说：那你能说一下序列化和反序列化底层是如何实现的吗？一脸懵逼，然后回家等通知！

02

深入了解Java对象序列化

序列化字面上指的是安排在一个序列。它是一个过程Java在对象的状态转换为比特流。转换维护一个序列按照提供的元数据,比如一个POJO。也许,这是由于这种转变从抽象到一个原始序列的比特被称为序列化的词源。

08

Java中Throwable源码阅读

参考链接： Java中的Throwable fillInStackTrace()方法

02

【Java 基础篇】serialVersionUID 详解

在 Java 中，serialVersionUID 是一个用于标识序列化类版本的特殊字段。它是一个长整型数值，通常在实现 Serializable 接口的类中使用，用于确保序列化和反序列化的一致性。在本文中，我们将详细解释 serialVersionUID 的作用、用法以及相关的注意事项。

02

protostuff java_Protostuff一键序列化工具、Protobuf JAVA实现

序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间，对象将其当前状态写入到临时或持久性存储区。以后，可以通过从存储区中读取或反序列化对象的状态，重新创建该对象。

01

Jenkins 未授权远程代码执行漏洞(CVE-2017-1000353)

漏洞概要 Jenkins 未授权远程代码执行漏洞, 允许攻击者将序列化的Java SignedObject对象传输给Jenkins CLI处理，反序列化ObjectInputStream作为Command对象，这将绕过基于黑名单的保护机制, 导致代码执行。漏洞触发执行流程 SSD的报告披露了完整的漏洞细节，作为才学JAVA的我来说，看完这份报告，依旧不清楚具体的执行流程，因此有了下文，梳理漏洞触发的具体执行流程。触发jenkins反序列化导致代码执行的漏洞发生在使用HTTP协议实现双向通信通道的代码中

06

Java反序列化利用工具 -- Java Deserialization Exp Tools

Java反序列化漏洞已经被曝出一段时间了，本人参考了网上大神的放出来的工具，将Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。FreeBuf上已经公开了JBoss反序列化执行命令回显的工具，在本文中就不多做叙述了。其实，WebSphere的利用过程也和JBoss差不多，只不过在发送Payload和解析结果的时候多了个Base64编码（解码）的过程。本工具暂时支持的功能： 1、本地命令执行并回显，无须加载外部jar包，支持纯内网环境检测。 2、支持JBoss、

08

Java对象的序列化（Serialization）和反序列化详解

####1.序列化和反序列化序列化（Serialization）是将对象的状态信息转化为可以存储或者传输的形式的过程，一般将一个对象存储到一个储存媒介，例如档案或记忆体缓冲等，在网络传输过程中，可以是字节或者XML等格式；而字节或者XML格式的可以还原成完全相等的对象，这个相反的过程又称为反序列化；

03

Java反序列化(十二) | Fastjson②1.2.24-68总结

介绍什么的就不说了,简介以及1.2.24的复现和详细分析可以看 Java反序列化(十) | Fastjson – CVE-2017-18349

04

Android 反序列化漏洞攻防史话

Java 在历史上出现过许多反序列化的漏洞，但大部分出自 J2EE 的组件。即便是 FastJSON 这种漏洞，似乎也很少看到在 Android 中被实际的触发和利用。本文即为对历史上曾出现过的 Android Java 反序列化漏洞的分析和研究记录。

06

【手册详解】Java序列化引发的血案

【强制】当序列化类新增属性时，请不要修改 serialVersionUID 字段，以避免反序列失败；如果完全不兼容升级，避免反序列化混乱，那么请修改 serialVersionUID 值。说明：注意 serialVersionUID 值不一致会抛出序列化运行时异常。

02

干货 | 最全的Weblogic漏洞复现

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

03

干货 | 最全的Weblogic漏洞复现笔记

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

04

java的反序列化(一)What’s java’s serialize&unserialize

AC ED 00 05之后可能跟上述的数据类型说明符，也可能跟77(TC_BLOCKDATA元素)或7A(TC_BLOCKDATALONG元素)其后跟的是块数据。

04

java序列化学习笔记

概念序列化是将对象状态转换为可保持或传输的格式的过程。与序列化相对的是反序列化，它将流转换为对象。这两个过程结合起来，可以轻松地存储和传输数据。以后，可以通过从存储区中读取或反序列化对象的状态，重新创建该对象。目的 1、以某种存储形式使自定义对象持久化，在MVC模式中很是有用； 2、将对象从一个地方传递到另一个地方；实现方法实现 java.io.Serializable 接口序列化时，需要用到对象输出流ObjectOutputStream ,然后通过文件输出流构造 ObjectOutputStr

06

【护网必备】Shiro反序列化漏洞综合利用工具增强版

在每年HW期间，外网打点都少不了Shiro漏洞的身影，本工具主要支持对Shiro反序列化漏洞综合利用，包含(回显执行命令/注入内存马)修复原版中NoCC的问题

01

对象的序列化与反序列化

对象的序列化就是将Object转换成byte序列，反之叫做对象的反序列化 1.序列化流： ObjectOutputStream，是过滤流----->writeObject 反序列化流： ObjectInputStream ------->readObject 2.序列化接口： Serializable 对象必须实现序列化接口，才能进行序列化，否则将会出现异常这个接口没有任何方法，只是一个标准 3.一个类实现了序列化接口，子类也就都能进行序列化了 java.io 接口 Serializable publ

java.io.Serializable浅析

转自博客地址：http://www.cnblogs.com/gw811/archive/2012/10/10/2718331.html

02

Java-IO NIO

IO和NIO的区别： NIO即New IO，这个库是在JDK1.4中才引入的。NIO和IO有相同的作用和目的，但实现方式不同，NIO主要用到的是块，IO主要用到的是流，所以NIO的效率要比IO高很多。在Java API中提供了两套NIO，一套是针对标准输入输出NIO，另一套就是网络编程NIO。

01

CVE-2018-2628补丁绕过分析与修复建议

Oracle官方在北京时间2018年4月18日凌晨发布了关键补丁更新，其中包含了OracleWebLogic Server的一个高危反序列化漏洞（CVE-2018-2628），通过该漏洞，攻击者可以在未授权的情况下远程执行代码。

04

讲真，下次打死我也不敢随便改serialVersionUID了

序列化是一种对象持久化的手段。普遍应用在网络传输、RMI等场景中。类通过实现 java.io.Serializable 接口以启用其序列化功能。

01

Jackson行为特征SerializationFeature和DeserializationFeature【收藏】

在使用Jackson序列化和反序列化的时候，一般会设置一些相关特性，例如下面这样的代码：

01

自古以来，JSON序列化就是兵家必争之地

上文讲到使用ioutil.ReadAll读取大的Response Body，出现读取Body超时的问题。

02

讲真，下次再也不敢随便改 serialVersionUID 了

原文链接：https://url.cn/5kiGWwk

04

Java序列化引发的血案

大家可以回忆一下，平时都是如果将文字文件、图片文件、视频文件、软件安装包等传给小伙伴时，这些资源在计算机中存储的方式是怎样的。进而再思考，Java 中的对象如果需要存储或者传输应该通过什么形式呢？

02

Apache NiFi的 Write-Ahead Log 实现

NiFi使用预写日志来跟踪FlowFiles（即数据记录）在系统中流动时的变化。该预写日志跟踪FlowFiles本身的更改，例如FlowFile的属性（组成元数据的键/值对）及其状态，再比如FlowFile所属的Connection /Queue。

02

序列化/反序列化，我忍你很久了，淦！

上次不知道是哪个小伙伴留言说，关于对象「序列化和反序列化」这一块有点糊，能不能像之前梳理一样整理一波。

02

Java一分钟之-Java序列化与反序列化

Java序列化是将对象的状态转换为字节流的过程，以便存储或在网络上传输。反序列化则是将字节流恢复为对象的过程。Java提供内置的序列化机制，通过实现Serializable接口来标记一个类可被序列化。

01

Java序列化和反序列化，你该知道得更多

序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间，对象将其当前状态写入到临时或持久性存储区。以后，可以通过从存储区中读取或反序列化对象的状态，重新创建该对象——百度词条解释。

02

渗透测试 Java架构执行漏洞检测

近期对平台安全渗透测试中遇到有JAVA+mysql架构的网站,针对此架构我们Sine安全渗透工程师整理了下具体的漏洞检测方法和防护修复方法，很多像执行框架漏洞获取到系统权限,以及跨权限写入木马后门等等操作，希望大家在渗透测试的道路中发现更多的知识和经验。

03

消除JAVA编程中的坏味道

序列化谨慎的实现Serializable接口实现Serializable最大的代价,一旦这个类被发布就大大降低了改变这个类实现的灵活性,这个类中所有私有实例域都将变成导出API的一部分,不符合最低限度访问域的实践原则 UID流的唯一标识符,如果没有就会自动产生,受类名称接口名称等影响而变化,如果没有显示声明新版本的类反序列化旧版本会InvaildClassException. 实现序列化增加了出现bug的安全漏洞的可能性,增加了兼容性测试负担. 一般来说值类应当实现Serializable,活动实

02

常见Java面试题之如何实现对象克隆

有两种方式： 1)实现Cloneable接口并重写Object类中的clone()方法； 2) 实现Serializable接口，通过对象的序列化和反序列化实现克隆，可以实现真正的深度克隆。注意：基于序列化和反序列化实现的克隆不仅仅是深度克隆，更重要的是通过泛型限定，可以检查出要克隆的对象是否支持序列化，这项检查是编译器完成的，不是在运行时抛出异常，这种是方案明显优于使用Object类的clone方法克隆对象。让问题在编译的时候暴露出来总是优于把问题留到运行时。

03

序列化和反序列化的详解[通俗易懂]

(2)序列化最重要的作用：在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。

01

修复weblogic的JAVA反序列化漏洞的多种方法

目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁，目前看到的修复方法无非两条：

01

VuCSA：一款包含大量漏洞的客户端-服务器安全练习平台

关于VuCSA VuCSA，全称为Vulnerable Client-Server Application，即包含安全漏洞的客户端-服务器应用程序，该工具主要为安全学习而设计，广大研究人员可以利用VuCSA来学习、研究和演示如何对非HTTP厚客户端执行安全渗透测试。该工具基于Java语言开发，并提供了JavaFX图形化用户界面。包含的安全漏洞当前版本的VuCSA应用程序包含下列安全漏洞挑战： 1、缓冲区过度读取（模拟）； 2、任意命令执行； 3、SQL注入； 4、数据枚举；

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭