有谁知道 Java 平台的任何脚本可以强制限制为提供的函数集(最好绝对没有函数,除非提供)?我已经尝试了几种与 JSR223 兼容的语言,但在所有情况下都能够危及安全性。
我的系统目前在做什么:
- 从文件系统加载请求的脚本。
- 创建一个上下文来运行脚本
- 在新上下文中运行脚本
即使正确配置了安全管理器,什么会阻止恶意脚本内容访问(或更糟——变异)对象中的字段,否则它不应该访问这些字段?如果出现错误或故意为恶意行为定制脚本,这可能会造成一些损害。
问问题
131 次
1 回答
0
我想我会解决这个问题并尝试打破它。也许它会经得起考验。
http://riven8192.blogspot.com/2010/07/java-rhino-fine-grained-classshutter.html
于 2013-03-16T04:54:01.030 回答