摘要：1. 条件1）攻击者可以控制服务器上的文件名/文件内容2）tomcat context配置了persistencemanager的fileSotre3) persistenceManager 配置了sessionAttributeValueClassNameFilter的值为NULL或者宽松过滤4） 阅读全文