gpt4 book ai didi

java - Java 中不受信任的 Groovy 脚本安全性

转载 作者:太空狗 更新时间:2023-10-29 22:56:55 25 4
gpt4 key购买 nike

我们正在尝试在“企业”产品中提供可编写脚本的元素。我们想使用 groovy,但我们很难确保非常基本的东西。

例如,我们想阻止客户简单地去

Class.forName("my.company.internal.SecruityTools").runAsAwesome(...)

我们安装了一个安全管理器,其策略只允许 accesDeclaredMembers 并覆盖了 checkPackageAccess 方法,只允许列入白名单的包。不幸的是,默认的 classLoader 链似乎只是绕过它,并以任何方式加载类。

这似乎是一个相当普遍/讨论过的问题,但我终其一生都找不到关于如何在更大的应用程序的上下文中锁定不受信任的脚本的库或一篇好的博客文章。

有人成功过吗?我是否遗漏了一些相当明显的帖子/概念?是否已经有一个可靠的图书馆?也许 Groovy.tinFoilHatMode(true)

最佳答案

看看 Groovy Sandbox .您可以使用它来停止诸如 System.exit(0)new File(“/etc/passwd”) 之类的操作。

关于java - Java 中不受信任的 Groovy 脚本安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10219870/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com