解释:AccessibleObject API 允许程序员绕过由 Java 访问说明符提供的 access control 检查。特别是它让程序员能够允许反映对象绕过 Java access control,并反过来更改私有字段或调用私有方法、行为,这些通常情况下都是不允许的
在面向对象编程中,访问修饰符(如public、private和protected)用于控制类成员的可见性和访问权限。当一个成员被声明为private时,只有在同一类中才能访问它。如果攻击者可以使用某种方式绕过这些访问修饰符的限制,他们可能会获得对私有成员的访问权限,从而导致安全问题。
解决:
漏洞原因:field.setAccessible(true)
修改成:ReflectionUtils.makeAccessible(field) // spring包下的一个工具类
