代码之家  ›  专栏  ›  技术社区  ›  Luke A. Leber

Java-“安全”脚本

jsr223 scripting security java
  •  0
  • Luke A. Leber  · 技术社区  · 12 年前

    有人知道Java平台的任何脚本可以被强制限制为提供的函数集(除非提供,否则最好绝对没有函数)吗?我已经尝试了几种JSR223兼容的语言,但在所有情况下都能降低安全性。

    我的系统当前的功能:

    1. 从文件系统加载请求的脚本。
    2. 创建用于运行脚本的上下文
    3. 在新上下文中运行脚本

    即使安全管理器配置正确,如何阻止恶意脚本内容访问(或更糟的是,更改)不应该访问的对象的字段?如果犯了错误,或者脚本是故意为恶意行为量身定制的,这可能会造成一些损害。

    1 回复  |  直到 12 年前
        1
  •  0
  •   Luke A. Leber    12 年前

    我想我会把它拿起来试着打破它。也许它经得起考验。

    http://riven8192.blogspot.com/2010/07/java-rhino-fine-grained-classshutter.html

    推荐文章
    Ori Marko  ·  JMeter脚本引擎,允许缓存和编译
    7 年前
    Tarmo  ·  在JSR-223上执行动态Java代码
    7 年前
    David Siro  ·  fat jar中的Kotlin JSR-223 ScriptEngineFactory-找不到Kotlin编译器jar
    7 年前
    Luke A. Leber  ·  Java-“安全”脚本
    12 年前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号