如何保护使用 javax.scripting 运行的脚本？

Question

我正在使用 javax.scripting 添加对在服务器端运行任意用户上传的 JavaScript 的支持。显然我想保护这些脚本！

Rhino 本身有一个用于在运行时保护脚本的框架。但是，javax.scripting 的文档没有提及脚本可用的安全性、权限或限制类。那么，这是否只是 javax.scripting API 中的一个巨大漏洞，它没有提供一个框架来保护其执行的脚本？

我不想直接使用 Rhino，因为我最初尝试过，但在将 Java 实例暴露给正在运行的脚本时遇到了一些问题。 javax.scripting 框架（它在底层使用了 Rhino）使这个过程变得简单，并且还简化了在多线程服务器中运行脚本。

我想将可以在运行脚本中访问/实例化的 Java 类列入白名单。谁能指出我如何实现这一目标的示例或文档？

Answer 1

事实证明，javax.scripting 不提供安全框架。经过一番搜索后，我在 Google 的缓存中发现了一个文档，建议尝试使用 Java 的 doPrivilegedAction 框架，但经过一些实验，我无法阻止脚本打开套接字或访问文件系统。

在我问这个问题后，我发现以前在 StackOverflow 上曾问过这个问题： 如何在沙箱中使用 Rhino for Java 运行 Javascript？ 在该页面上，它错误地表明 JDK6 中包含的 Rhino 已经解决了安全问题。正如我所指出的，我能够从脚本中打开套接字和其他有害操作。

最终我放弃了javax.scripting，直接嵌入Rhino。通过构建一个同时也是 ClassShutter 的自定义 ContextFactory，我能够轻松实现两个结果：

1. 将脚本执行时间限制在最大时间限制内
2. 将类访问限制为我所拥有的类-listed，它基本上是 java.lang.* 和我的服务器层次结构中选定的几个类。

CodeUtopia（我无法链接到它，因为作为一个新用户，我不允许在单个帖子中链接到多个页面；但它在其他 StackOverflow 帖子中链接到）对于描述 ClassShutterClassShutter< /code> 架构和 Rhino 自己的 ContextFactory API 页面描述了如何构建自定义 ContextFactory。

Answer 2

http://codeutopia.net/blog/2009/01 /02/sandboxing-rhino-in-java/ 描述了一种沙箱 rhino 的方法，javax.scripting 使用 Rhino 作为 JS 脚本引擎，因此您应该能够使用上面的内容，尽管包名称可能有所不同。

我一直在开发一个 Java 应用程序
需要 Rhino 来编写脚本。该应用程序
需要运行不受信任的 JavaScript
来自第三方的代码，所以我不得不
找到一种方法来阻止对所有 Java 的访问
方法，除了我想要的方法。
如果有的话这不是问题
是禁用 LiveConnect 的简单方法
- Rhino 的功能提供了对脚本的 java 访问 - 但有
没有这样的事情。

然而，经过大量挖掘
周围，​​我终于找到了办法
这不需要太多的黑客攻击。在
事实上，只需扩展即可完成
一些 Rhino 类，并使用
提供的设置器可以覆盖一些
默认的。

Answer 3

仅供参考，现在可以在 javax.scripting 的新 Java 8 实现中实现这一点，该实现使用名为 Nashorn 的新引擎。请参阅安全 Nashorn JS 执行