我在Stackoverflow上看了很多关于这个问题的问题,但是没有找到解决方案或答案。如果已经有解决方案,如果有人能给一个提示,我会非常感激...
我的问题/疑问是是否有可能完全禁用不可信代码的反射?像getDeclaredMethods()这样的函数(请参见test.java)。我已经有了一个Java安全管理器,如果代码尝试写入/读取等操作,则会引发安全异常...
如果有可能,能否有人展示一下如何做到?
Bruno
test.java
TestClass cls = new TestClass();
Class c = cls.getClass();
// returns the array of Method objects
Method[] m = c.getDeclaredMethods();
for(int i = 0; i < m.length; i++) {
System.out.println("method = " + m[i].toString());
}
所以我没有直接使用checkPermission()解决问题。我的解决方法是检查是否访问了java.lang.reflect包。
@Override
public void checkPackageAccess(String pkg){
// don't allow the use of the reflection package
if(pkg.equals("java.lang.reflect")){
throw new SecurityException("Reflection is not allowed!");
}
}
扩展您的SecurityManager,并检查ReflectPermission和RuntimePermission。然后,您需要决定调用者是否具有Reflection权限:
@Override
public void checkPermission(Permission perm) {
if (perm instanceof ReflectPermission) {
// called for Method.setAccessible(true)
// determine whether caller is permitted using getClassContext()
}
if (perm instanceof RuntimePermission) {
if (perm.implies(new RuntimePermission("accessDeclaredMembers"))) {
// called for Class.getDeclardFields()
System.out.println("getDeclaredFields() called");
}
}
throw new SecurityException(...),但异常并没有被抛出...甚至函数都没有被调用... - BrunogetDeclaredMethods()方法并没有调用SecurityManager,但是如果您想通过Method.setAccessible(true)访问私有/受保护的方法,则会调用SecurityManager。 - StefangetDeclaredXYZ() 检查的答案。希望能有所帮助。 - Stefan
if (pkg.startsWith("java.lang.reflect")){会更安全。 - edoardottt