我正在开发一个库,需要实例化并返回从外部网站下载的不受信任的对象.在高级别,图书馆的工作原理如下:
>库的客户端从远程源请求类.
>我的库实例化该对象,然后将其返回给用户.
这是一个主要的安全风险,因为不受信任的代码几乎可以做任何事情.为了解决这个问题,我的库有以下设计:
>我启用了SecurityManager,并且在实例化不受信任的对象时,我使用AccessController来处理没有特权的上下文中的实例化.
>在将对象返回给客户端之前,我将对象包装在装饰器中,该装饰器使用AccessController将所有方法请求转发到底层对象,以确保不受信任的代码永远不会以任何权限运行.
但是,我发现这可能不是最优雅的解决方案.从根本上说,我想从远程源下载的任何类型的任何对象中删除所有权限.我目前使用AccessController只是一种通过拦截所有请求并在执行它们之前删除权限来伪造它的方法. AccessController方法也有自己的问题:
>如果包装对象具有任何返回对象的方法,那么返回的对象必须自行包装.
>包装器代码可能长达数千行,因为必须保护每个导出的方法.
>必须事先知道下载对象导出的所有方法才能被包装.
我的问题是:有没有办法将类加载到JVM中(可能使用自定义的ClassLoader),以便这些类的任何实例在没有权限的情况下执行其方法?
谢谢!