反射安全
如何通过禁止Method、Field和Constructor对象调用setAccessible(true)来强制反射安全?是安全策略文件还是其他什么东西? 通常,独立的Java应用程序没有注册SecurityManager。 我使用这个System.setSecurityManager(n...
在Java Web应用程序中,我应该使用安全管理器吗?
在保护Java Web应用程序方面,仅使用运行应用程序服务器进程的用户权限是否足够,或者合理使用具有适当策略文件的SecurityManager? 我过去只使用前者而不是后者,但一些客户希望我们也使用SecurityManager,它将明确授予权限给每个第三方组件,以确保没有任何恶意代码潜藏...
在Java中,SecurityManager是否有一种方式可以有选择地授予ReflectPermission(“suppressAccessChecks”)?
有没有办法让 Java 中的 SecurityManager 根据 setAccessible() 调用的详细信息有选择地授予 ReflectPermission("suppressAccessChecks") 权限?我没有看到任何方法可以做到这一点。 对于一些沙箱代码,允许调用 setAc...
替代Security Manager的checkMemberAccess()方法
Java安全管理器方法checkMemberAccess()中有一个参数,其中包含Reflection被调用的类。该方法已被弃用,并附带了一个描述,建议使用checkPermission()代替。在checkPermission()中没有类似于checkMemberAccess()中的参数。 ...
执行沙箱化的Java代码的最佳方式是什么?
我正在尝试复制一个执行 Java 代码(像 ideone.com 这样的网站)的 API,但目前我在尝试沙箱中运行 Java 代码时遇到了很多困难(SELinux 沙箱无法工作)。 我听说过 SecurityManager,但我正在尝试找出以最简单的方式在沙箱中运行 Java 代码的方法(有...
在没有默认的java.policy文件的情况下运行Java安全管理器
我不想修改Java主目录中的任何内容,但我担心默认的java.policy文件有时可能过于宽松。当我使用-Djava.security.manager选项运行Java时,是否有一种方法可以将指定的策略文件用作唯一的策略文件? 如果我添加-Djava.security.policy=myPol...