在LWUIT（J2ME）中加載除getClass（）。getResourceAsStream（）或Resources.Open（「」）以外的其他資源的替代方法

Question

我們剛剛獲得了關於我們交付的J2ME應用程序的安全性的反饋， Veracode將getClass（）。getResourceAsStream（）作爲一個安全缺陷在Resources.Open（「/ res/resfile.res」）中調用。

的這裏的問題是資源沒有被用戶輸入給出，但被稱爲在我這裏顯示的方式。但是，由於某種原因，我們正在處理的公司不會接受誤報。

是否有任何替代方式加載資源，以便它不使用getResourceAsStream並通過Veracode測試？

Answer 1

不，沒有其他方法可以爲J2ME加載內部資源。您需要使用Class對象上的getResourceAsStream()。

這不是一個安全漏洞。我認爲Veracode很困惑。看起來他們認爲你正在從用戶SD卡或內部電話存儲中加載外部文件 - 這確實是一個安全缺陷。但這不是getResourceAsStream()。

您可以使用getResourceAsStream()閱讀的唯一內容是包含在您自己創建的JAR中的文件。

我認爲你唯一能做的就是試着向Veracode解釋一下。因爲它絕對不是安全漏洞。

Answer 2

你可以把你的文件的所有內容放入java類中。但這並不好玩，也不是更安全。