java - http ://localhost:8000/and http://127. 0.0.1:8000/for Java Applets 有什么区别

标签 java security applet

我有一个与 Java Applet 安全相关的问题/问题...
我使用的 Applet 必须从服务器 (ASP.NET) 获取文件并表示其中的信息。小程序取文件使用代码:

URL u = new URL(getCodeBase(), filename);
BufferedReader d = new BufferedReader(new InputStreamReader(u.openStream()));

这段代码出现在两个地方:

  1. Init() 方法
  2. 一些从 JavaScript 手动调用的方法 Test()

因此,当我尝试使用 URL http://127.0.0.1:8000/Test.aspx 使用 Applet 加载页面时,一切正常,我可以从两种方法读取文件内容.但是,如果我更改 http://localhost:8000/ 上的 URL,只有第一种方法可以正常工作,我可以获得文件内容,而对于第二种方法,我会在 JavaConsole 中收到下一条错误消息:

java.security.AccessControlException: access denied (java.net.SocketPermission 127.0.0.1:8000 connect,resolve)

在这种情况下有什么区别?为什么在这种情况下不可能使用“localhost”?有什么方法可以像 127.0.0.1 一样授予对“本地主机”的访问权限吗?

这是最简单的小程序示例:

public class TestApplet extends Applet {

    public void init()
    {
        System.out.println( "init...");

        readDocument();
    }

    public void readDocument()
    {
        System.out.println( "read test.txt file...");

        URL base = getCodeBase();
        String filename = "test.txt";
        try {
            URL u = new URL(base, filename);
            BufferedReader d = new BufferedReader(new InputStreamReader(u.openStream()));
            System.out.println(d.readLine());
            System.out.println("Done!");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

接下来在客户端使用的代码:

<applet archive="/Content/test.jar" code="test.TestApplet.class" name="testApplet" mayscript></applet>

<script language="javascript" type="text/javascript">
    $(document).ready(function () {
        var testApplet = document.testApplet;
        testApplet.readDocument();
    });
</script>

当我尝试使用 http://127.0.0.1:8000/Test.aspx 时,此代码完美运行 当我使用 http://localhost:8000/Test.aspx 时不起作用.我 java 控制台我看到下一个:

init...
read test.txt file...
some text...
Done!
read test.txt file...
java.security.AccessControlException: access denied (java.net.SocketPermission 127.0.0.1:8000 connect,resolve)
    at java.security.AccessControlContext.checkPermission(Unknown Source)
    at java.security.AccessController.checkPermission(Unknown Source)
    at java.lang.SecurityManager.checkPermission(Unknown Source)
    at java.lang.SecurityManager.checkConnect(Unknown Source)
    at sun.plugin2.applet.Applet2SecurityManager.checkConnect(Unknown Source)
    at java.net.Socket.connect(Unknown Source)
    at sun.net.NetworkClient.doConnect(Unknown Source)
    at sun.net.www.http.HttpClient.openServer(Unknown Source)
    at sun.net.www.http.HttpClient.openServer(Unknown Source)
    at sun.net.www.http.HttpClient.<init>(Unknown Source)
    at sun.net.www.http.HttpClient.New(Unknown Source)
    at sun.net.www.http.HttpClient.New(Unknown Source)
    at sun.net.www.protocol.http.HttpURLConnection.getNewHttpClient(Unknown Source)
    at sun.net.www.protocol.http.HttpURLConnection.plainConnect(Unknown Source)
    at sun.net.www.protocol.http.HttpURLConnection.connect(Unknown Source)
    at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)
    at java.net.URL.openStream(Unknown Source)
    at test.TestApplet.readDocument(TestApplet.java:30)
    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
    at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
    at java.lang.reflect.Method.invoke(Unknown Source)
    at sun.plugin.javascript.JSInvoke.invoke(Unknown Source)
    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
    at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
    at java.lang.reflect.Method.invoke(Unknown Source)
    at sun.plugin.javascript.JSClassLoader.invoke(Unknown Source)
    at sun.plugin2.liveconnect.JavaClass$MethodInfo.invoke(Unknown Source)
    at sun.plugin2.liveconnect.JavaClass$MemberBundle.invoke(Unknown Source)
    at sun.plugin2.liveconnect.JavaClass.invoke0(Unknown Source)
    at sun.plugin2.liveconnect.JavaClass.invoke(Unknown Source)
    at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo$DefaultInvocationDelegate.invoke(Unknown Source)
    at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo$3.run(Unknown Source)
    at java.security.AccessController.doPrivileged(Native Method)
    at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo.doObjectOp(Unknown Source)
    at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo$LiveConnectWorker.run(Unknown Source)
    at java.lang.Thread.run(Unknown Source)

P.S.:Applet 已签名。

最佳答案

问题是来自 JavaScript 的调用。如果您使用 JavaScript 调用您的方法,调用的权限将下降到 JavaScript 桥的权限(即无)和您自己的代码的权限的交集 - 即使您自己的代码已签名。

要避免这种情况并使用您的小程序代码的全部权限,请将与安全相关的部分放在 AccessController.doPrivileged(...) 调用中。 (当然,你的小程序应该首先检查这不能做任何恶意的事情。)

不过,如果您直接使用 IP 地址而不是 localhost,我不知道为什么它会起作用。

关于java - http ://localhost:8000/and http://127. 0.0.1:8000/for Java Applets 有什么区别,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6572789/

上一篇:java - 如何检查曲线是否相似

下一篇:java - 另一个 java 通用问题

相关文章:

用 Java 重写的 Javascript 函数给出了不同的结果

security - 是否可以使用 64 位 I/O block 大小来实现 AES?

mysql - asp.net中的mysql如何转义?

Java 7u45 安全属性 ClassNotFoundException list

Java小程序获取文档cookie?

Java 小程序可排序列表

java - OpenSSL 签名未在 Java 中验证

java - 如何使用不同于 super 用户(postgres)的用户访问postgresql数据库?

java - 快速*复制* Activity IntelliJ 项目的 git url

azure - Frontdoor 显示服务器 header Microsoft-IIS/10.0

©2024 IT工具网  联系我们