问题概述:如何修改下面的代码,使不受信任的动态加载代码在安全沙箱中运行,而应用程序的其余部分保持不受限制?为什么URLClassLoader不能像它所说的那样处理它?
我的应用程序具有插件机制,其中第三方可以提供包含实现特定接口的类的JAR。使用URLClassLoader,我可以加载该类并实例化它,没有问题。由于代码可能不受信任,我需要防止其行为不当。例如,我在单独的线程中运行插件代码,以便如果它进入无限循环或仅需要太长时间,则可以将其终止。但是,尝试为它们设置安全沙箱,以便它们无法执行诸如建立网络连接或访问硬盘驱动器上的文件之类的操作,使我非常困扰。我的努力总是导致插件没有任何影响(它具有与应用程序相同的权限)或限制了应用程序。我希望主应用程序代码能够做几乎任何它想做的事情,但插件代码被锁定。
文档和在线资源复杂、混乱且自相矛盾。我已经在各个地方读过(例如这个问题),我需要提供自定义SecurityManager,但是当我尝试时,我遇到问题,因为JVM懒加载JAR中的类。因此,我可以很好地实例化它,但是如果我调用已从相同JAR中实例化另一个类的对象上的方法,则会失败,因为它被拒绝读取JAR的权限。
理论上,我可以在我的SecurityManager中放置FilePermission检查,以查看它是否正在尝试从其自己的JAR中加载。那很好,但是URLClassLoader文档说:“默认情况下,加载的类仅被授予访问创建URLClassLoader时指定的URL的权限。”那我为什么需要自定义SecurityManager?URLClassLoader不应该处理这个吗?为什么没有?
以下是复制问题的简化示例:
主应用程序(可信任)
PluginTest.java
更新: 我进行了更改,使插件代码运行之前通知PluginSecurityManager,以便它知道它正在使用哪个类源。然后它只允许在该类源路径下的文件访问。这也有一个好处,我可以在应用程序开始时只设置一次安全管理器,并在进入和离开插件代码时更新它。
这基本上解决了问题,但并没有回答我的另一个问题:为什么URLClassLoader不能像它所说的那样为我处理呢?我将保留此问题一段时间,看看是否有人能回答这个问题。如果是这样,那个人将得到被接受的答案。否则,我会授予Ani B.奖励,因为URLClassLoader文档是错误的,他建议制作自定义SecurityManager是正确的。
PluginThread将不得不在PluginSecurityManager上设置classSource属性,即类文件的路径。现在,PluginSecurityManager看起来是这样的:
我的应用程序具有插件机制,其中第三方可以提供包含实现特定接口的类的JAR。使用URLClassLoader,我可以加载该类并实例化它,没有问题。由于代码可能不受信任,我需要防止其行为不当。例如,我在单独的线程中运行插件代码,以便如果它进入无限循环或仅需要太长时间,则可以将其终止。但是,尝试为它们设置安全沙箱,以便它们无法执行诸如建立网络连接或访问硬盘驱动器上的文件之类的操作,使我非常困扰。我的努力总是导致插件没有任何影响(它具有与应用程序相同的权限)或限制了应用程序。我希望主应用程序代码能够做几乎任何它想做的事情,但插件代码被锁定。
文档和在线资源复杂、混乱且自相矛盾。我已经在各个地方读过(例如这个问题),我需要提供自定义SecurityManager,但是当我尝试时,我遇到问题,因为JVM懒加载JAR中的类。因此,我可以很好地实例化它,但是如果我调用已从相同JAR中实例化另一个类的对象上的方法,则会失败,因为它被拒绝读取JAR的权限。
理论上,我可以在我的SecurityManager中放置FilePermission检查,以查看它是否正在尝试从其自己的JAR中加载。那很好,但是URLClassLoader文档说:“默认情况下,加载的类仅被授予访问创建URLClassLoader时指定的URL的权限。”那我为什么需要自定义SecurityManager?URLClassLoader不应该处理这个吗?为什么没有?
以下是复制问题的简化示例:
主应用程序(可信任)
PluginTest.java
package test.app;
import java.io.File;
import java.net.URL;
import java.net.URLClassLoader;
import test.api.Plugin;
public class PluginTest {
public static void pluginTest(String pathToJar) {
try {
File file = new File(pathToJar);
URL url = file.toURI().toURL();
URLClassLoader cl = new URLClassLoader(new java.net.URL[] { url });
Class<?> clazz = cl.loadClass("test.plugin.MyPlugin");
final Plugin plugin = (Plugin) clazz.newInstance();
PluginThread thread = new PluginThread(new Runnable() {
@Override
public void run() {
plugin.go();
}
});
thread.start();
} catch (Exception ex) {
ex.printStackTrace();
}
}
}
Plugin.java
package test.api;
public interface Plugin {
public void go();
}
PluginSecurityManager.java
package test.app;
public class PluginSecurityManager extends SecurityManager {
private boolean _sandboxed;
@Override
public void checkPermission(Permission perm) {
check(perm);
}
@Override
public void checkPermission(Permission perm, Object context) {
check(perm);
}
private void check(Permission perm) {
if (!_sandboxed) {
return;
}
// I *could* check FilePermission here, but why doesn't
// URLClassLoader handle it like it says it does?
throw new SecurityException("Permission denied");
}
void enableSandbox() {
_sandboxed = true;
}
void disableSandbox() {
_sandboxed = false;
}
}
PluginThread.java
package test.app;
class PluginThread extends Thread {
PluginThread(Runnable target) {
super(target);
}
@Override
public void run() {
SecurityManager old = System.getSecurityManager();
PluginSecurityManager psm = new PluginSecurityManager();
System.setSecurityManager(psm);
psm.enableSandbox();
super.run();
psm.disableSandbox();
System.setSecurityManager(old);
}
}
插件JAR文件(不受信任)
MyPlugin.java
package test.plugin;
public MyPlugin implements Plugin {
@Override
public void go() {
new AnotherClassInTheSamePlugin(); // ClassNotFoundException with a SecurityManager
doSomethingDangerous(); // permitted without a SecurityManager
}
private void doSomethingDangerous() {
// use your imagination
}
}
更新: 我进行了更改,使插件代码运行之前通知PluginSecurityManager,以便它知道它正在使用哪个类源。然后它只允许在该类源路径下的文件访问。这也有一个好处,我可以在应用程序开始时只设置一次安全管理器,并在进入和离开插件代码时更新它。
这基本上解决了问题,但并没有回答我的另一个问题:为什么URLClassLoader不能像它所说的那样为我处理呢?我将保留此问题一段时间,看看是否有人能回答这个问题。如果是这样,那个人将得到被接受的答案。否则,我会授予Ani B.奖励,因为URLClassLoader文档是错误的,他建议制作自定义SecurityManager是正确的。
PluginThread将不得不在PluginSecurityManager上设置classSource属性,即类文件的路径。现在,PluginSecurityManager看起来是这样的:
package test.app;
public class PluginSecurityManager extends SecurityManager {
private String _classSource;
@Override
public void checkPermission(Permission perm) {
check(perm);
}
@Override
public void checkPermission(Permission perm, Object context) {
check(perm);
}
private void check(Permission perm) {
if (_classSource == null) {
// Not running plugin code
return;
}
if (perm instanceof FilePermission) {
// Is the request inside the class source?
String path = perm.getName();
boolean inClassSource = path.startsWith(_classSource);
// Is the request for read-only access?
boolean readOnly = "read".equals(perm.getActions());
if (inClassSource && readOnly) {
return;
}
}
throw new SecurityException("Permission denied: " + perm);
}
void setClassSource(String classSource) {
_classSource = classSource;
}
}
run
返回后可以在另一个线程中运行代码吗? - Tom Hawtin - tackline