我们使用 Javascript 在小程序与其托管网页之间进行通信。我们需要修改小程序以包含permissions 属性,并且想知道启用小程序的Javascript 通信需要哪个值。我们可以使用sandbox 还是需要使用all-permissions?
【问题讨论】:
sandbox)?
标签: java javascript html security applet
由 Java Script 编写的小程序只需要与没有 Java Script 的小程序相同的权限。
话虽如此,来自 JS 的任何调用都不会被 JVM 视为“信任”。因此,如果从 JS 调用需要信任的方法,则需要实现(在代码中)使用 doPrivileged(PrivilegedAction)。
AccessController
AccessController类用于访问控制操作和决策。更具体地说,
AccessController类用于三个目的:
- 根据当前有效的安全策略决定是允许还是拒绝对关键系统资源的访问,
- 将代码标记为“特权”,从而影响后续访问确定,和
- 获取当前调用上下文的“快照”,以便可以针对保存的上下文做出来自不同上下文的访问控制决策。
PrivilegedAction
要在启用权限的情况下执行的计算。通过在
PrivilegedAction对象上调用AccessController.doPrivileged来执行计算。 ..
鉴于不断变化的安全机制,我建议将可能曾经从 JS 调用的所有代码包装到 PrivilegedAction 中。
【讨论】:
我不知道您是否正在寻找,但对我来说,如果我使用 javascript 部署小程序,它就可以工作: http://docs.oracle.com/javase/tutorial/deployment/applet/invokingAppletMethodsFromJavaScript.html
sandbox 可以正常工作,但如果你想访问文件或套接字,你需要配置 java.policy 文件: http://docs.oracle.com/javase/tutorial/security/tour1/wstep2.html
并授予 java.security.Permission 或 java.io.FilePermission 等权限
【讨论】: