以前工作的网络代码正在抛出java.security.AccessControlException
在完全沙盒化的 Java applet.
Can't get socket 2255: java.security.AccessControlException: access denied ("java.net.SocketPermission" "50.31.1.13:2255" "connect,resolve")
Oracle 发生了什么变化 - 必须跳到什么新的安全圈 保持套接字正常工作?
这在 Java 1.7.0_55 和所有以前的 java 版本中有效/有效。
【问题讨论】:
这确实发生了变化……来自文档
http://docs.oracle.com/javase/8/docs/technotes/guides/jweb/enhancements-8.html
对于沙盒 RIA,
URLPermission现在用于允许连接回到启动它们的服务器。URLPermissions是根据代码源的协议、主机和端口授予的。此更改具有以下含义:
- 对于沙盒 RIA,不再授予源主机的
SocketPermissions。从 JDK 8 开始,不允许从 JavaScript 代码调用 RIASocketPermissions。…
换句话说,您不能再在沙盒中创建新的Socket。然后,您只能使用与完全沙盒小程序中的代码库相同的主机、相同的端口和相同的协议来创建URL。
除非 Oracle 改变主意,否则沙盒小程序无法解决此问题(否则会破坏整个安全概念)。
【讨论】:
嗯,对我来说,甲骨文似乎决定加强小程序的安全要求。这是我在CodeRanch 上找到的:
使SecurityManager接受与套接字相关的权限检查:
System.getSecurityManager().checkPermission(new SocketPermission("50.31.1.13:2255", "accept, connect, listen"));
//I used IP address from your exception
现在,线程相关的检查:
System.getSecurityManager().checkPermission(new RuntimePermission("readerThread"));
这些行应该放在main() 方法的开头。
需要做的第二件事是签署您的jar/war/ear 文件。首先,创建一个密钥库:
keytool -genkey -alias philip -keystore keystore
现在,将 CA 签名的证书放入您的信任库证书中或创建自签名证书:
keytool -selfcert -alias philip -keystore keystore
最后,签署文件:
jarsigner -keystore keystore -signedjar WhatYouWantTheSignedJarToBeNamed.jar ThePreviousJARYouCreated.jar philip
实际上对于已签名的JAR 文件,SecurityManager 相关的魔法可能是开销,但我认为两者都做更安全。
另外请注意,有时您可能需要签署外部jars,而不仅仅是您的小程序所在的jar。
【讨论】:
在client.policy(对于应用程序客户端)或server.policy(对于Web模块)中为需要设置属性的应用程序添加权限。默认情况下,应用程序只有属性的读取权限。
例如,要授予对代码库目录中所有文件的读/写权限,请将以下内容添加或附加到 client.policy 或 server.policy:
grant codeBase "file:/.../build/sparc_SunOS/sec/-" { 权限 java.util.PropertyPermission "*", "read,write"; };
【讨论】: