java - 在 SecurityManager 下授予脚本访问系统属性-6ren

java - 在 SecurityManager 下授予脚本访问系统属性

转载作者：太空宇宙更新时间：2023-11-04 07:24:32

25

4

我想允许沙箱中的脚本访问系统属性，但我收到 AccessControlException。这是代码:

import static org.junit.Assert.*;
import java.security.AccessControlContext;
import java.security.AccessController;
import java.security.CodeSource;
import java.security.Permission;
import java.security.Permissions;
import java.security.PrivilegedAction;
import java.security.ProtectionDomain;
import java.security.cert.Certificate;
import java.util.PropertyPermission;
import org.junit.Test;

public class AccessControlTest {

    @Test
    public void testAccessControl() throws Exception {

        PrivilegedAction<String> action = new PrivilegedAction<String>() {

            @Override
            public String run() {
                System.getProperty( "java.version" ); // doesn't work
                return System.getProperty( "foo" ); // doesn't work
            }
        };


        SecurityManager sm = new SecurityManager() {
            @Override
            public void checkPermission( Permission perm ) {

                if( "setSecurityManager".equals( perm.getName() ) ) {
                    return;
                }

                System.out.println( perm );
                super.checkPermission( perm );
            }
        };

        Permissions perms = new Permissions();
        perms.add( new PropertyPermission( "foo", "read" ) );
//        perms.add( new PropertyPermission( "java.version", "read" ) );

        ProtectionDomain domain = new ProtectionDomain( new CodeSource( null, (Certificate[]) null ), perms );
        AccessControlContext context = new AccessControlContext( new ProtectionDomain[] { domain } );

        try {
            System.setSecurityManager( sm );

            Object result = AccessController.doPrivileged( action, context );
            assertEquals( Boolean.TRUE, result );
        } finally {
            System.setSecurityManager( null );
            System.out.println( "setSecurityManager( null )" );
        }


    }

}

调试时，我看到以下输出:

...
policy:   granting (java.lang.RuntimePermission stopThread)
policy:   granting (java.net.SocketPermission localhost:1024- listen,resolve)
policy:   granting (java.util.PropertyPermission java.version read)
...
(java.util.PropertyPermission java.version read)
java.lang.Exception: Stack trace
    at java.lang.Thread.dumpStack(Thread.java:1249)
    at java.security.AccessControlContext.checkPermission(AccessControlContext.java:323)
    at java.security.AccessController.checkPermission(AccessController.java:549)
    at java.lang.SecurityManager.checkPermission(SecurityManager.java:532)
    at com.avanon.script.AccessControlTest$2.checkPermission(AccessControlTest.java:39)
    at java.lang.SecurityManager.checkPropertyAccess(SecurityManager.java:1285)
    at java.lang.System.getProperty(System.java:650)
...
access: domain 0 ProtectionDomain  (null <no signer certificates>)
 null
 <no principals>
 java.security.Permissions@78ce5b1c (
 (java.util.PropertyPermission foo read)
)


access: domain 1 ProtectionDomain  (file:/.../project/target-eclipse/test-classes/ <no signer certificates>)
 sun.misc.Launcher$AppClassLoader@5d0385c1
 <no principals>
 java.security.Permissions@6ddf073d (
 (java.io.FilePermission /.../project/target-eclipse/test-classes/- read)
 (java.lang.RuntimePermission exitVM)
)


access: access denied (java.util.PropertyPermission java.version read)

(使用 -Djava.security.debug=all 调用代码以获得相同的输出)

第一个 block 来自 JRE 附带的全局 java.policy 文件。

下一个 block 是代码尝试检查对 java.version 的访问的时间。

最后一个 block 显示此操作失败。

这让我感到惊讶，因为策略文件中允许访问该属性。

为了提供帮助，我启用了注释行，为 java.version 添加了 PropertyPermission。现在第一个 System.getProperty( "java.version") 通过了。

但第二个仍然失败:

access: domain that failed ProtectionDomain  (file:/.../project/target-eclipse/test-classes/ <no signer certificates>)
 sun.misc.Launcher$AppClassLoader@5d0385c1
 <no principals>
 java.security.Permissions@6ddf073d (
 (java.io.FilePermission /.../project/target-eclipse/test-classes/- read)
 (java.lang.RuntimePermission exitVM)
)

我真的被这个问题难住了。从代码来看，Java 似乎总是按顺序检查所有 ProtectionDomain(我有四个)。如果其中任何一个人不喜欢您的访问权限，则会被拒绝。

但我不知道第二个域如何允许访问任何属性，因此我预计要么都失败，要么都成功。

我错过了什么？

最佳答案

看看 ProtectionDomain.implies():

if (!staticPermissions && 
    Policy.getPolicyNoCheck().implies(this, permission))
    return true;

这意味着对于动态 ProtectionDomain，将应用当前的策略。安装 SecurityManager 后，默认策略会加载一些授予访问系统属性的权限。

要为您的 ProtectionDomain 启用相同的功能，您需要使用不同的构造函数:

    public ProtectionDomain(CodeSource codesource,
            PermissionCollection permissions,
            ClassLoader classloader,
            Principal[] principals)

这将使您成功:现在将通过对系统属性的访问。

但是对属性 foo 的第二次访问将通过第一个保护域，而对于其他保护域则失败。

要解决此问题，您必须安装自己的默认策略，该策略允许访问 java.version 和 foo。

如果您这样做，那么您就不再需要自定义 ProtectionDomain 了；有政策就够了。

关于java - 在 SecurityManager 下授予脚本访问系统属性，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/18758885/

25

4

0

文章推荐： c - 为什么 fwrite 和 fread 打印垃圾？

文章推荐： python - django:避免在 get_or_create 上出现 "Unused variable"警告

文章推荐： python - 将程序从 FreeBASIC 转换为 Python : globalizing variables

文章推荐： java - java中高亮搜索关键字

Powershell 脚本 - 脚本 - 我如何禁用它
我有 powershell 脚本。通过调度程序，我运行 bat 文件，该文件运行 PS1 文件。 BAT文件 Powershell.exe -executionpolicy remotesigned
Jquery - getScript 版本<脚本>..
什么更快？或者 $.getScript('../js/SOME.js', function (){ ... // with $.ajaxSetup({ cache: true });
linux - Bash 脚本 Shell 脚本
需要bash脚本来显示文件 #!/bin/bash my_ls() { # save current directory then cd to "$1" pushd "$1" >/dev/nu
ksh - Unix 脚本 - 需要提高性能的建议(shell 脚本)
我有一个输入 csv 文件，实际上我需要在输入文件中选择第 2 列和第 3 列值，并且需要转换两个值的时区(从 PT 到 CT)，转换后我需要替换转换后的时区值到文件。注意: 所有输入日期值都在太平
Bash 脚本 - 编写 init.d 脚本
我正在使用/etc/init.d/httpd 作为 init.d 脚本的模板。我了解文件中发生的所有内容，但以下行除外: LANG=$HTTPD_LANG daemon --pidfile=${pid
python - 将具有多个子选项的命令行选项传递给 python 脚本 -- shell 脚本
我有以下选择: python runscript.py -O start -a "-a "\"-o \\\"-f/dev/sda1 -b256k -Q8\\\" -l test -p maim\""
linux - 用于重命名文件的 Shell 脚本 - Shell 脚本
我对 shell 脚本完全陌生，但我需要编写一个 shell 脚本来检查文件是否存在，然后移动到另一个位置这是我写的: 一旦设备崩溃，我就会在/storage/sdcard1/1 中收集日志 #!/
linux - Bash 脚本 - Bash 脚本 - 编辑文件中文本的行
我正在使用 bash 脚本从文本文件中读取数据。数据: 04:31 Alex M.O.R.P.H. & Natalie Gioia - My Heaven http://goo.gl/rMOa2q
php - 按下按钮运行 php 脚本，该脚本会回显 javascript 脚本
这是单击按钮时运行的 javascript 的结尾 xmlObj.open ('GET', /ajax.php, true); xmlObj.send (''); } 所以这会执行根目录中的php脚本
linux - 重新激活 python 脚本 - Linux bash 脚本
关闭。这个问题需要debugging details .它目前不接受答案。编辑问题以包含 desired behavior, a specific problem or error, and th
python - Nodejs 脚本 fs.createReadStream 到 Python 脚本
我需要将文件转换为可读流以通过 api 上传，有一个使用 fs.createReadStream 的 Node js 示例。任何人都可以告诉我上述声明的 python 等价物是什么？例子 const
python - 从 shell 脚本 cron 调用 python 脚本
我有一个 shell 脚本 cron，它从同一目录调用 python 脚本，但是当这个 cron 执行时，我没有从我的 python 脚本中获得预期的输出，当我手动执行它时，我的 python 脚本的
javascript - 安全的 ajax 脚本(javascript 请求的 PHP 脚本)
如何使 XMLHttpRequest (ajax) 调用的 php 脚本安全。我的意思是，不让 PHP 文件通过直接 url 运行，只能通过脚本从我的页面调用(我不想向未登录的用户显示数据库结果，并
脚本 block 错误中的经典 asp 脚本 block 中的 javascript
我正在尝试添加以下内容我正在使用经典的 asp。但我不断收到的错误是“一个脚本 block 不能放在另一个脚本 block 内。”我尝试了此处的 document.write 技术:Javasc
php - 如何从一个 PHP 脚本(如批处理文件)中运行多个 PHP 脚本？
如何从另一个 PHP 脚本(如批处理文件)中运行多个 PHP 脚本？如果我了解 include 在做什么，我认为 include 不会起作用；因为我正在运行的每个文件都会重新声明一些相同的函数等。我想
html - 如何从 HTML5 脚本/文件/页面调用 Lua 脚本
我想创建具有动态内容的网页。我有一个 HTML 页面，我想从中调用一个 lua 脚本如何调用 lua 脚本？ ? ？从中检索数据？我可以做类似的事情吗: int xx = 0; xx
jquery - 表格行不会自动滚动。脚本 1 滚动，脚本 2 不滚动。为什么？
我删除了我的第一个问题，并重新编写了更多细节和附加 jSfiddle domos。我有一个脚本，它运行查询并返回数据，然后填充表。表中的行自动循环滚动。所有这些工作正常，并通过使用以下代码完成。然而
javascript - amp-script 未找到脚本哈希。 amp-脚本[脚本 ="hello-world"]
我尝试使用 amp 脚本，但收到此错误: “[amp-script] 脚本哈希未找到。amp-script[script="hello-world"].js 必须在元[name="amp-script
java - 从 Java 执行 Shell 脚本，具有读取操作的 Shell 脚本
我有一个读取输入的 Shell 脚本 #!/bin/bash echo "Type the year that you want to check (4 digits), followed by [E
arrays - Redis Lua 脚本 - 如何将数组作为参数传递给 nodejs 中的 Lua 脚本？
我正在从 nodejs 调用 Lua 脚本。我想传递一个数组作为参数。我在 Lua 中解析该数组时遇到问题。下面是一个例子: var script = 'local actorlist = ARGV

首页

博学

6Ren·AI

商城

java - 在 SecurityManager 下授予脚本访问系统属性