签名的小程序给出 AccessControlException:从 javascript 调用时访问被拒绝
-
21-08-2019 - |
题
我有一个简单的自签名小程序(使用 keytool 和 jarsigner 完成):
public class NetAppletLauncher extends JApplet {
private static final long serialVersionUID = 1L;
public void init() {
exec("notepad c:/hello.txt");
}
public void exec(String command) {
try {
// launch EXE and grab stdin/stdout and stderr
Process process = Runtime.getRuntime().exec(command);
// OutputStream stdin = process.getOutputStream();
InputStream stderr = process.getErrorStream();
InputStream stdout = process.getInputStream();
// "write" the parms into stdin
// stdin.write(arguments.getBytes());
// stdin.flush();
// stdin.close();
// clean up if any output in stdout
String line = "";
BufferedReader brCleanUp = new BufferedReader(new InputStreamReader(stdout));
while ((line = brCleanUp.readLine()) != null) {
//System.out.println ("[Stdout] " + line);
}
brCleanUp.close();
// clean up if any output in stderr
brCleanUp = new BufferedReader(new InputStreamReader(stderr));
while ((line = brCleanUp.readLine()) != null) {
//System.out.println ("[Stderr] " + line);
}
brCleanUp.close();
} catch (Exception exception) {
exception.printStackTrace();
}
}
}
基本上,它的作用是执行“notepad c:/hello.txt”。
然后我将小程序嵌入到 html 中:
<applet id='applet' name='applet' archive='NetAppletLauncher1.jar' code='src.NetAppletLauncher' width='100' height='100' MAYSCRIPT ></applet>
当我访问该页面时,JRE 启动并询问我是否要启动此小程序以及我是否信任它。我按确定。然后记事本启动 - 正如它应该的那样。这里没问题。
但随后我将其添加到 HTML 页面中:
<p class="link" onclick="document.applet.exec('calc');">remote desktop2</p>
现在,当我按下此文本时,计算应该开始 - 对吗?但这给了我:
java.security.AccessControlException: access denied (java.io.FilePermission <<ALL FILES>> execute)
at java.security.AccessControlContext.checkPermission(Unknown Source)
- 这是怎么回事?为什么它现在给我一个安全异常,但它之前可以启动记事本?
解决方案 2
用Java解决了这个问题:
exec(getParameter("command"));
然后在 JavaScript 中:
<script type="text/javascript">
function exec( command ) {
var applet = "<applet id='applet' style='visibility: hidden' name='applet' archive='NetAppletLauncher4.jar' code='src.NetsetAppletLauncher' width='20' height='20' MAYSCRIPT ><param name='command' value='" + command + "' />Sorry, you need a Java-enabled browser.</applet>";
var body = document.getElementsByTagName("body")[0];
var div = document.createElement("div");
div.innerHTML = applet;
body.appendChild(div);
}
</script>
其他提示
Java 2 安全模型(大致)要求堆栈上的每个帧都必须被授予访问控制上下文 (acc) 的权限,才能拥有该权限。JavaScript 位于堆栈上,没有文件访问权限。
我同意 :禁止从 javascript 操作已签名的 applet,解决方法是在页面文档中用 javascript 重写 applet 标记。
我发现这个来源有一些理论证明我们是对的http://docs.oracle.com/javase/tutorial/deployment/applet/security.html#jsNote
实际上,从 javascript 调用 applet 的行为与调用未签名的 applet 相同(如 jsnote 中所指定: http://docs.oracle.com/javase/tutorial/deployment/applet/security.html#jsNote. 。这很好,并且当您使用不允许更改的类时是有效的,但是由于您是 java 类的作者,因此您始终可以包装需要从 javascript 调用以在特权中执行的特定方法。模式,像这样:
AccessController.doPrivileged(new PrivilegedAction<String>() {
@Override
public String run() {
exec(command);
return null;
}
});
而且应该可以正常工作。(这是 @Jean-Philippe Jodoin 的赞同评论中建议的内容,但那里提供的链接已损坏)