在LWUIT（J2ME）中加载除getClass（）。getResourceAsStream（）或Resources.Open（“”）以外的其他资源的替代方法

Question

我们刚刚获得了关于我们交付的J2ME应用程序的安全性的反馈， Veracode将getClass（）。getResourceAsStream（）作为一个安全缺陷在Resources.Open（“/ res/resfile.res”）中调用。

的这里的问题是资源没有被用户输入给出，但被称为在我这里显示的方式。但是，由于某种原因，我们正在处理的公司不会接受误报。

是否有任何替代方式加载资源，以便它不使用getResourceAsStream并通过Veracode测试？

Answer 1

不，没有其他方法可以为J2ME加载内部资源。您需要使用Class对象上的getResourceAsStream()。

这不是一个安全漏洞。我认为Veracode很困惑。看起来他们认为你正在从用户SD卡或内部电话存储中加载外部文件 - 这确实是一个安全缺陷。但这不是getResourceAsStream()。

您可以使用getResourceAsStream()阅读的唯一内容是包含在您自己创建的JAR中的文件。

我认为你唯一能做的就是试着向Veracode解释一下。因为它绝对不是安全漏洞。

Answer 2

你可以把你的文件的所有内容放入java类中。但这并不好玩，也不是更安全。