java - AccessController.doPrivileged 是否为 JavaScript 线程提供已签名 Applet 的权限？

Question

我正在查看一个被大量从 JavaScript 调用的签名 Applet。显然，与直接从 Java 内部启动的任何线程相比，源自 JavaScript 的线程受到更严格的沙箱化处理。例如，如果 JavaScript 线程调用 Applet 并记录导致日志文件滚动的内容，则会抛出安全异常。直接在 Applet 中启动的任何线程都不会遇到此安全异常。 log4j 的解决方案是使用异步附加程序。

但是对于其他安全异常(exception)情况(例如，在已签名的 Applet 中但在 JavaScript 线程中使用 Apache Axis)，没有明显的方法来拥有一些异步线程。假设我有以下代码，如果从 Java 线程调用将有效，如果通过 JavaScript 调用将失败并抛出 SecurityException:

public void someMethodCalledFromJavaScript() {
  // Stuff that would throw a SecurityException
}

我看到以下三个选项，但它们可能并不都有效。为了便于讨论，忽略执行是同步的还是异步的，因为这很容易管理。我很难理解安全模型的细节。这是我的三个可能的选择:

• 开始一个新线程(这个线程还能工作吗？):

  public void someMethodCalledFromJavaScript() {
    new Thread(new Runnable() {
      public void run() {
        // Stuff that would throw a SecurityException
      }
    }).start();
  }
  

• 让 Applet 有一个随时准备运行的线程，通过 JavaScript 源线程(此处高度简化的代码)触发:

  private volatile boolean doit = false;
  
  // This code is running in a Thread, started @ Applet init time
  public void alwaysWaiting() {
    while (true) {
      if (doit) {
        doit = false;
        // Stuff that would throw a SecurityException
      }
    }
  }
  
  public void someMethodCalledFromJavaScript() {
    doit = true;
  }
  

• 使用 AccessController.doPrivileged:

  public void someMethodCalledFromJavaScript() {
    AccessController.doPrivileged(new PrivilegedAction() {
      public Object run() {
        // Stuff that would throw a SecurityException
        return null;
      }
    });
  }
  

根据我对 AccessController.doPrivileged 的了解，您在当前安全权限与您正在调用的代码的安全域权限的交集下运行。这对我来说没有意义，就好像您在低安全域和高安全域的交集 上运行一样，您将只有低安全域。很明显我不明白什么。

我看到的具体 SecurityException 是这个:

java.security.AccessControlException: access denied (java.lang.RuntimePermission accessDeclaredMembers)

但是我当然很好奇在 JavaScript 调用已签名的 Applet 的上下文中的一般情况，以及我如何允许 JavaScript 发起的线程以已签名的 Applet 的特权运行，就好像它是一个线程一样完全起源于 Applet。

以上哪些选择甚至会起作用，哪些比其他选择更好，为什么。

Answer 1

• “开始一个新线程(这个线程还能工作吗？)”

由于以下原因无法工作

• 让 Applet 有一个随时准备运行的线程，通过 JavaScript 源线程触发

当然可以，但这比调用 doPrivileged 更痛苦，但在语义上具有相同的效果。

• 使用AccessController.doPrivileged

是的，这会起作用。

每次访问控制检查都会检查当前线程堆栈上所有堆栈帧的集合(包括递归地导致当前线程实例化的堆栈帧)。如果存在 doPrivileged 帧，则该帧之前的帧不包含在集合中(但包含实际的 doPrivileged 帧)。

如果正在检查的特权不在该集合中的每一帧中，则检查失败。

换句话说，一个线程的当前权限是这个集合中权限的交集。

因此，例如，如果特权代码 doPrivileged 尝试打开文件的一些非特权代码，则检查将失败。同样，如果非特权代码doPrivileged打开文件的特权代码，检查将失败。但是，如果非特权代码调用特权代码，而特权代码依次调用 doPrivileged 来打开文件，则检查将成功。

理论上，您应该只能授予您的 Java 代码库所需的权限(可能访问某个独立目录)，然后授予相同权限给将使用此特权代码的 JavaScript 代码，但我怀疑任何浏览器都具有此类功能。我很惊讶 JavaScript 甚至在 Java 之外的另一个保护域中运行。

我从未做过 JavaScript<->Java 互操作，但似乎无论您要做什么，都必须让 JavaScript 调用的方法在其整个主体上使用 doPrivileged block 。

---

编辑:正如 Sami 所说，在特权代码中调用 doPrivileged block 时要小心(并阅读他的回答)。