<分区>
我的部分项目需要允许参与者上传简单且非常基本的 Java 代码,我将运行他们的代码并为他们返回结果。我通过限制web用户帐户的权限、使用线程控制超时情况、使用安全管理器对委托(delegate)程序进行沙箱化来降低安全风险。
由于我不太清楚什么样的请求可能会造成意想不到的危险,所以我决定使用默认策略。但是大多数人都在谈论使用自定义策略。
我已经搜索了很多,但我仍然没有找到任何网站/文献/教程来讨论为什么我不应该使用默认的安全管理器。是否有任何错误可以通过使用自定义策略来避免,而默认策略存在?
我的意思是,是不是因为默认策略太严格或没用,以至于人们倾向于使用自定义策略。
我已经阅读了 java.security,但我仍然想确定这一点。