一、前言 会写这篇文章的起因是在最近的一场ctf中碰见的一道很有意思的题，题目本身是一道很简单的ROME链的反序列化漏洞，但是在传入payload的地方限制了能传入的长度，所以就有了这么一篇文章。 赛题关键部分： @PostMapping({"/hello"}) public String index(@RequestParam…