JD.FINRET

当 finally 块中出现 return 语句时，出现 JD.FINRET。

漏洞与风险

finally 块中的 return 语句会导致可能出现在 try 块中的任何异常被丢弃，并会导致原本要通过该方法返回的所有值替换为 finally 块中返回的值。

缓解与预防

finally 块应仅包含结束代码。关于返回值的所有逻辑和重新引发的预期都不应位于 finally 块中。

示例 1

9
10
11
12
13
14
15
16
17
      int foo2(String name) {
         try {
             return Integer.parseInt(name);
         } catch (NumberFormatException e) {
             throw e;
         } finally {
             return -1;
         }
     }

在第 15 行报告 JD.FINRET：finally 块中的“return”会导致易被忽略的异常。

外部指导

• CERT ERR04-J：不要突然从 finally 块完成
• CWE-1032：安全配置错误
• OWASP A6:2017 安全配置错误
• OWASP A5:2021 安全配置错误

安全培训

应用程序安全培训材料由 Secure Code Warrior 提供。

• 安全配置错误培训视频 - 用培训示例来检验您的技能