个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
25
4
我想允许沙箱中的脚本访问系统属性,但我收到 AccessControlException。这是代码:
import static org.junit.Assert.*;
import java.security.AccessControlContext;
import java.security.AccessController;
import java.security.CodeSource;
import java.security.Permission;
import java.security.Permissions;
import java.security.PrivilegedAction;
import java.security.ProtectionDomain;
import java.security.cert.Certificate;
import java.util.PropertyPermission;
import org.junit.Test;
public class AccessControlTest {
@Test
public void testAccessControl() throws Exception {
PrivilegedAction<String> action = new PrivilegedAction<String>() {
@Override
public String run() {
System.getProperty( "java.version" ); // doesn't work
return System.getProperty( "foo" ); // doesn't work
}
};
SecurityManager sm = new SecurityManager() {
@Override
public void checkPermission( Permission perm ) {
if( "setSecurityManager".equals( perm.getName() ) ) {
return;
}
System.out.println( perm );
super.checkPermission( perm );
}
};
Permissions perms = new Permissions();
perms.add( new PropertyPermission( "foo", "read" ) );
// perms.add( new PropertyPermission( "java.version", "read" ) );
ProtectionDomain domain = new ProtectionDomain( new CodeSource( null, (Certificate[]) null ), perms );
AccessControlContext context = new AccessControlContext( new ProtectionDomain[] { domain } );
try {
System.setSecurityManager( sm );
Object result = AccessController.doPrivileged( action, context );
assertEquals( Boolean.TRUE, result );
} finally {
System.setSecurityManager( null );
System.out.println( "setSecurityManager( null )" );
}
}
}
调试时,我看到以下输出:
...
policy: granting (java.lang.RuntimePermission stopThread)
policy: granting (java.net.SocketPermission localhost:1024- listen,resolve)
policy: granting (java.util.PropertyPermission java.version read)
...
(java.util.PropertyPermission java.version read)
java.lang.Exception: Stack trace
at java.lang.Thread.dumpStack(Thread.java:1249)
at java.security.AccessControlContext.checkPermission(AccessControlContext.java:323)
at java.security.AccessController.checkPermission(AccessController.java:549)
at java.lang.SecurityManager.checkPermission(SecurityManager.java:532)
at com.avanon.script.AccessControlTest$2.checkPermission(AccessControlTest.java:39)
at java.lang.SecurityManager.checkPropertyAccess(SecurityManager.java:1285)
at java.lang.System.getProperty(System.java:650)
...
access: domain 0 ProtectionDomain (null <no signer certificates>)
null
<no principals>
java.security.Permissions@78ce5b1c (
(java.util.PropertyPermission foo read)
)
access: domain 1 ProtectionDomain (file:/.../project/target-eclipse/test-classes/ <no signer certificates>)
sun.misc.Launcher$AppClassLoader@5d0385c1
<no principals>
java.security.Permissions@6ddf073d (
(java.io.FilePermission /.../project/target-eclipse/test-classes/- read)
(java.lang.RuntimePermission exitVM)
)
access: access denied (java.util.PropertyPermission java.version read)
(使用 -Djava.security.debug=all 调用代码以获得相同的输出)
第一个 block 来自 JRE 附带的全局 java.policy 文件。
下一个 block 是代码尝试检查对 java.version 的访问的时间。
最后一个 block 显示此操作失败。
这让我感到惊讶,因为策略文件中允许访问该属性。
为了提供帮助,我启用了注释行,为 java.version 添加了 PropertyPermission。现在第一个 System.getProperty( "java.version") 通过了。
但第二个仍然失败:
access: domain that failed ProtectionDomain (file:/.../project/target-eclipse/test-classes/ <no signer certificates>)
sun.misc.Launcher$AppClassLoader@5d0385c1
<no principals>
java.security.Permissions@6ddf073d (
(java.io.FilePermission /.../project/target-eclipse/test-classes/- read)
(java.lang.RuntimePermission exitVM)
)
我真的被这个问题难住了。从代码来看,Java 似乎总是按顺序检查所有 ProtectionDomain(我有四个)。如果其中任何一个人不喜欢您的访问权限,则会被拒绝。
但我不知道第二个域如何允许访问任何属性,因此我预计要么都失败,要么都成功。
我错过了什么?
最佳答案
看看 ProtectionDomain.implies():
if (!staticPermissions &&
Policy.getPolicyNoCheck().implies(this, permission))
return true;
这意味着对于动态 ProtectionDomain,将应用当前的策略。安装 SecurityManager 后,默认策略会加载一些授予访问系统属性的权限。
要为您的 ProtectionDomain 启用相同的功能,您需要使用不同的构造函数:
public ProtectionDomain(CodeSource codesource,
PermissionCollection permissions,
ClassLoader classloader,
Principal[] principals)
这将使您成功:现在将通过对系统属性的访问。
但是对属性 foo 的第二次访问将通过第一个保护域,而对于其他保护域则失败。
要解决此问题,您必须安装自己的默认策略,该策略允许访问 java.version 和 foo。
如果您这样做,那么您就不再需要自定义 ProtectionDomain 了;有政策就够了。
关于java - 在 SecurityManager 下授予脚本访问系统属性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18758885/
25
4
0
如何授予 VSTS (TFVC) 用户从分支创建新分支的权限?我已经授予他对 ParentBranch 的“管理分支”和“合并”权限。 当他尝试从“ParentBranch”创建一个名为“ChildB
我在我的 oracle 过程中使用 dbms_crypto.encrypt 函数来加密密码。我已连接到 oracle 为: connect sqlplus as sysdba 然后授予权限: gran
如何在不连接到每一台计算机的情况下将我的 android 设备的 adb 访问权限授予我的所有计算机并按允许? 最佳答案 通过 adb 连接到设备时,每台计算机都会将代码写入 android 设备,以
我有一个 package A ,它在另一个 package B 中使用了一些变量和过程在 相同的架构 .现在想搬家package A到 新架构 .我应该授予 new schema 哪些权限用于使用 p
我需要获取数百个 MS Access DB 的元数据,因此我需要自动化元数据收集过程。 我想查询描述的内容 here ,但在查询数据库之前,我需要对 MSysObjects 进行读取 Access 表
我有一个 JApplet,我想授予它读写打印等权限。该小程序仅从本地文件系统加载 我已经阅读了java教程的控制小程序部分,并成功创建了一个策略文件,授予权限并指定代码库 http://docs.or
我正在使用 phpmyadmin 来调整用户的权限。 我删除了用户“root”的所有访问权限。现在我看不到表格了。 我尝试用另一个用户登录,但它不允许我。 此时我有什么选择? 第 1 步。 //Sto
Mysql 服务器允许从本地主机访问匿名用户。我也想将此权限扩展到其他机器...即,使用没有任何密码的匿名用户从机器 B 的 mysql 客户端访问在机器 A 中运行的 mysql_server。 我
为所有想要连接的新用户授予 MySQL 数据库访问权限的命令是什么? 考虑这个陈述: CREATE USER 'java'@'localhost' IDENTIFIED BY 'password';
我在尝试通过 t 为 mysql 用户授予数据库权限时遇到了一个问题。我认为这是因为数据库名称中的特殊字符。 这个正在工作: /usr/bin/mysql -uroot -pXz5eaCqwvsT0p
我可以在 GRANT 语句中使用静态数据库名称授予权限。 GRANT SELECT,INSERT ON database_name.table_name TO 'username'@'localhos
授予 Facebook 应用查看我的赞的权限是否允许该应用的所有其他用户也看到我的赞? 或者同一应用的其他用户能否看到我的点赞取决于我的点赞隐私设置? 例如,假设我只允许好友看到我的赞。这是否意味着该
我在这里敲了几个小时的脑袋。 我正在向数据库添加用户和密码,同时尝试授予权限。 GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,CREATE TEMPORARY TA
我正在尝试在 Flask 中创建一个自定义错误页面,我想让错误处理程序访问生成导致错误的 API 调用的请求,以便它返回的错误页面可以更改,具体取决于情况。例如,假设有两个端点: (1) @app.r
我已经编写了一个简短的快速代码来向查找器添加一个按钮,该按钮通过系统 touch 调用在当前目录中创建一个新的空白文件。该扩展可以很好地获取当前目录(通过 FIFinderSyncController
当我运行 hdf namenode -format 时,它想要删除目录 /home/hadoop/hadooptmpdata/dfs/name/current 但它没有权限执行此操作。如何授予它权限?
我正在用 C# 编写一个应用程序(对于我的一个 friend 来说,这是非常基础的),但是我有一个 StreamWriter 对象,它在 C: 中创建一个本地文件。我必须以管理员身份运行,它工作正常,
我已经安装了 Centos5,安装了 Web 服务器并设置了虚拟主机。主机几乎是这样设置的: > adduser user1 > mkdir -p /home/user1/public_html/do
我正从 MySQL 迁移到 PostgreSQL,但在用户权限方面遇到了瓶颈。我习惯于使用以下命令为用户分配对数据库所有表的所有权限: # MySQL grant all privileges on
我试图为特定用户授予对 UNC 路径的 NTFS 权限,但我看到了不同的行为,具体取决于 UNC 路径。下面是我用来授予权限的代码(来自 MSDN)以及每种情况下的结果, static void Gi
我是一名优秀的程序员,十分优秀!