中间人攻击最容易理解的可能就是fiddler吧，他可以截获request重新组织request的数据，有个专业的攻击工具叫burp。

每次使用开源组件，经常关注使用版本修复的问题列表，其中的安全修复值得重点关注

也不是很懂，根据自己的理解讲一下，部分可能是错误的。中间人攻击原理大概是用户在正常上网的时候，同网段的恶意用户对其进行欺骗。恶意用户向局域网广播:我是路由器，然后正常用户(电脑无防御)收到以后认为恶意用户就是路由器，然后向恶意用户发送数据包，恶意用户可以截获数据包，再向路由器发送正常用户的数据包，路由器将返回的数据包在给恶意用户，恶意用户在给正常用户，恶意用户就形成了中间人的效果，可以向返回的数据包注入html代码，达到劫持用户网站的效果，不过现在大部分的网站都是https且双向认证，比较难获取到用户发送数据包中的账号密码。

杨老师，您好，被一个安全问题困扰许久。就是开发者是否能够通过一定的手段修改jdk中的String类，并将修改后的String类进行替换，对于这个问题，应当从哪里开始寻找答案？谢谢

我来回答，，鸡肉饭饭的，，，数据存在immutable,mutable,两种，java没有原生immutable支持，string如果是new就是相对意义的immutable,java基本类型和string是有高效缓存池范围，OK?

String你懂双亲委派就知道，自己定义String是用不了的。

或者通过明文传输、存储，这些都存在暴露安全隐患的可能。
朗读者将 明文 读成 文明
难道只有我注意到么？

类加载器本身也可以对代码之间进行隔离，例如，应用无法获取启动类加载器（Bootstrap Class-Loader）对象实例，不同的类加载器也可以起到容器的作用，隔离模块之间不必要的可见性等。

所以上面这段话没理解， 启动器加载器不是顶级父类加载器么？ 按照“双亲委派机制”不是从父加载器看是否能够加载对象么？ 怎么还无法回去对象实例了呢？

这一讲看的完了，昨天面试的时候有问道注入攻击

终于可以见到杨老师真人了 😄

纠结String的同学可以试一下，String应该是加载不了的。