程序员写一个Java程序,默认的情况下你可以访问任意的机器资源,比如读取,删除一些文件或者网络操作等。当你把程序部署到正式的服务器上,系统 管理员要为服务器的安全承担责任,那么他可能不敢确定你的程序会不会访问不该访问的资源,为了消除潜在的安全隐患,他可能有两种办法:1,让你的程序在一 个限定权限的帐号下运行;
2.利用Java的沙箱机制来限定你的程序不能为非作歹。我们这里主要谈谈后一种方法。
怎样给一个程序设置一个“沙箱”呢?这个设置应该是避免改动程序代码的,而且是简单易行的。根据Java的文档,我们了解到只需简单的两个步骤。
步骤一.加一个运行参数,就可以让一个程序在沙箱里运行:
java -Djava.security.manager -jar myapp.jar
步骤二.设置具体的权限,比如创建自己的策略文件myapp.policy:
grant codeBase "file:${user.dir}/myapp.jar" {
permission java.io.FilePermission "${user.dir}${/}*", "read";
};
这个设置的意思是,从myapp.jar载入的代码,对当前目录下的所有文件有“读”的权限。
做完这两个步骤后,运行命令:
java -Djava.security.manager -Djava.security.policy==myapp.policy -jar myapp.jar
就可以保证程序只拥有你指明的权限。当访问其他资源时,会抛出类似"access denied"的异常。系统默认的策略文件是${java.home}/jre/lib/security/java.policy,它拥有的权限非常少,而且都与访问系统资源无关。
那么问题随之而来,这一切是怎么实现的?检查的代码在哪里,又是谁来开发的这些代码?
答案是:这是SUN干的,SUN早把这些检查的代码插入到所有访问系统资源的API里面了。
举一个读取文件的例子,比如:
BufferedReader br = new BufferedReader(new FileReader(fileName));
String line = br.readLine();
当你运行到第一行,继续调试进Java API源代码里,就可以碰到下面的一段代码:
SecurityManager security = System.getSecurityManager();
if (security != null) {
security.checkRead(name);
}
这里的代码表示,如果安装了SecurityManager,那么将进行安全检查(是否对这个文件具有读的权限)。而当你加上运行参数-Djava.security.manager,即表示安装了SecurityManager。这里和上面的第一个步骤对应。
继续调试进去,看到下面的代码:
checkPermission(new FilePermission(file,
SecurityConstants.FILE_READ_ACTION));
很明显,这和上面的第二个步骤对应,FilePermission即为java.io.FilePermission,FILE_READ_ACTION即为“read”。
那么codeBase和什么对应呢?
codeBase涉及到ClassLoader方面的知识了,简单的说,ClassLoader加载一些代码的时候,它会把代码来源的信息保存下来,这些信息结合从策略文件里读取的信息,系统就可以来做出决策了。
细节总是复杂的,但在理解这个原理后去深入细节,就能起到引领的作用。 这里最让人疑惑的地方不是策略文件的配置和规则,而是谁在决策,在什么时候决策。可能有人提出一个问题,如果我不用SUN的API,我自己去写一些代码访 问机器上的资源,那不就可以绕开“沙箱”了吗?理论上是可以的,但只要你写的是Java代码,并且仍使用SUN的虚拟机,那么你就没有这个机会。SUN的类加载器机制保证了你不能去替代或者干涉它的核心类库。
相关推荐
沙箱的原理和分类,主要分为应用级沙箱、内核级沙箱。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
详解vue3沙箱机制 目录 前言 浏览器编译版本 本地预编译版本 总结 参考 前言 浏览器编译版本 本地预编译版本 总结 参考 前言 vue3 沙箱主要分两种 浏览器编译版本 render 函数编译结果 <div>{{...
行业分类-设备装置-基于JAVA字节码插桩和JAVA方法挂钩检测JAVA沙箱逃逸攻击
java安全沙箱,具体内容见文档,非常之强大
java-sandbox:这是一个Java沙箱,主要用于试验与CoreJava相关的构造
Java实现支付宝扫码支付完整过程(沙箱测试环境)及其项目源码 项目描述 最近想开发一个关于支付网页的小项目,记录一下自己碰到的坑,这里我是通过Java在支付宝测试环境里面实现支付宝支付完整过程。 运行环境 ...
NULL 博文链接:https://dengzhangtao.iteye.com/blog/1989065
NULL 博文链接:https://renzaihangzhou.iteye.com/blog/2007855
java沙箱支付宝支付,QQ邮箱发送,短信发送,语音播报,手机短信发送等功能jar以及源码
支付宝沙箱(Alipay Sandbox)是支付宝提供的一个测试环境,用于模拟支付宝支付接口和功能的开发和测试。它允许开发人员在不影响真实支付流程的情况下,进行支付功能的调试、验证和优化。以下是对支付宝沙箱的详细...
java ,c#,delphi 解决flash安全沙箱问题 聊天室
微信支付沙箱密钥的获取方法有注解,附加一个HttpUtill类,输入正确的参数调用就可以获取的对应的沙箱密钥。
简单的 Java 沙盒,用于尝试和与朋友共享代码。 目前正在研究一些 Java 例子 创造型 抽象工厂 建造者 工厂方法 延迟初始化 多通 对象池 原型 资源获取 单身人士 结构的 适配器 桥 合成的 装饰器 正面...
沙箱逃逸技术总结。
SpringBoot+Vue支付宝沙箱支付
AS与java socket通讯 解决安全沙箱 服务端用JAVA写的 用其他语言写的服务端 可以参考一下 都差不多的 这是网上COPY的那种方法所改进的,可以运行的。
支付宝 包含对账单下载示例 业务账单 财务账单 阿里支付 付款 交易查询 退款 退款查询 交易关闭 对账单下载 电脑网站沙箱测试(Java)
Java10沙箱我在Java 10中的试用版。编译并运行在收藏夹终端中打开项目并运行以下命令: javac -d "./out/http" $(find . -path \*http/\*.java) javac -d "./out/bootstrap" -p "./out/http" $(find . -path \*...
NULL 博文链接:https://1598623317.iteye.com/blog/2087516