我有一个与 Java Applet 安全相关的问题/问题...
我使用的 Applet 必须从服务器 (ASP.NET) 获取文件并表示其中的信息。小程序取文件使用代码:
URL u = new URL(getCodeBase(), filename);
BufferedReader d = new BufferedReader(new InputStreamReader(u.openStream()));
这段代码出现在两个地方:
Init()
方法- 一些从 JavaScript 手动调用的方法
Test()
因此,当我尝试使用 URL http://127.0.0.1:8000/Test.aspx
使用 Applet 加载页面时,一切正常,我可以从两种方法读取文件内容.但是,如果我更改 http://localhost:8000/
上的 URL,只有第一种方法可以正常工作,我可以获得文件内容,而对于第二种方法,我会在 JavaConsole 中收到下一条错误消息:
java.security.AccessControlException: access denied (java.net.SocketPermission 127.0.0.1:8000 connect,resolve)
在这种情况下有什么区别?为什么在这种情况下不可能使用“localhost”?有什么方法可以像 127.0.0.1 一样授予对“本地主机”的访问权限吗?
这是最简单的小程序示例:
public class TestApplet extends Applet {
public void init()
{
System.out.println( "init...");
readDocument();
}
public void readDocument()
{
System.out.println( "read test.txt file...");
URL base = getCodeBase();
String filename = "test.txt";
try {
URL u = new URL(base, filename);
BufferedReader d = new BufferedReader(new InputStreamReader(u.openStream()));
System.out.println(d.readLine());
System.out.println("Done!");
} catch (Exception e) {
e.printStackTrace();
}
}
}
接下来在客户端使用的代码:
<applet archive="/Content/test.jar" code="test.TestApplet.class" name="testApplet" mayscript></applet>
<script language="javascript" type="text/javascript">
$(document).ready(function () {
var testApplet = document.testApplet;
testApplet.readDocument();
});
</script>
当我尝试使用 http://127.0.0.1:8000/Test.aspx 时,此代码完美运行 当我使用 http://localhost:8000/Test.aspx 时不起作用.我 java 控制台我看到下一个:
init...
read test.txt file...
some text...
Done!
read test.txt file...
java.security.AccessControlException: access denied (java.net.SocketPermission 127.0.0.1:8000 connect,resolve)
at java.security.AccessControlContext.checkPermission(Unknown Source)
at java.security.AccessController.checkPermission(Unknown Source)
at java.lang.SecurityManager.checkPermission(Unknown Source)
at java.lang.SecurityManager.checkConnect(Unknown Source)
at sun.plugin2.applet.Applet2SecurityManager.checkConnect(Unknown Source)
at java.net.Socket.connect(Unknown Source)
at sun.net.NetworkClient.doConnect(Unknown Source)
at sun.net.www.http.HttpClient.openServer(Unknown Source)
at sun.net.www.http.HttpClient.openServer(Unknown Source)
at sun.net.www.http.HttpClient.<init>(Unknown Source)
at sun.net.www.http.HttpClient.New(Unknown Source)
at sun.net.www.http.HttpClient.New(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.getNewHttpClient(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.plainConnect(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.connect(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)
at java.net.URL.openStream(Unknown Source)
at test.TestApplet.readDocument(TestApplet.java:30)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
at java.lang.reflect.Method.invoke(Unknown Source)
at sun.plugin.javascript.JSInvoke.invoke(Unknown Source)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
at java.lang.reflect.Method.invoke(Unknown Source)
at sun.plugin.javascript.JSClassLoader.invoke(Unknown Source)
at sun.plugin2.liveconnect.JavaClass$MethodInfo.invoke(Unknown Source)
at sun.plugin2.liveconnect.JavaClass$MemberBundle.invoke(Unknown Source)
at sun.plugin2.liveconnect.JavaClass.invoke0(Unknown Source)
at sun.plugin2.liveconnect.JavaClass.invoke(Unknown Source)
at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo$DefaultInvocationDelegate.invoke(Unknown Source)
at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo$3.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo.doObjectOp(Unknown Source)
at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo$LiveConnectWorker.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
P.S.:Applet 已签名。
最佳答案
问题是来自 JavaScript 的调用。如果您使用 JavaScript 调用您的方法,调用的权限将下降到 JavaScript 桥的权限(即无)和您自己的代码的权限的交集 - 即使您自己的代码已签名。
要避免这种情况并使用您的小程序代码的全部权限,请将与安全相关的部分放在 AccessController.doPrivileged(...)
调用中。 (当然,你的小程序应该首先检查这不能做任何恶意的事情。)
不过,如果您直接使用 IP 地址而不是 localhost
,我不知道为什么它会起作用。
关于java - http ://localhost:8000/and http://127. 0.0.1:8000/for Java Applets 有什么区别,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6572789/