是否可以实现一个类似安全管理器的工具来拦截对Rhino中java对象的调用

Question

我正在考虑使用 Rhino 作为脚本语言，但想添加一个层来防止脚本执行任何操作。

在 java 中，我们可以验证类，并在发现我们希望阻止的 api 时发出抱怨。例如，如果您不希望用户接触文件系统，如果有人发现对 java.io.File 等的调用，则会抱怨。

类文件验证等效

• 是否存在一个阶段，可以在脚本加载后但在执行之前验证脚本？
• 当给 eval 一个 String 时，是否会调用相同的回调？

这将是首选，因为每个脚本或小脚本仅检查一次，之后就受到信任。

所有 java 方法调用的运行时拦截

• Rhino 是否在每次尝试执行函数调用时调用一些回调？
• 是否可以仅在某些 api 上安装此检查器，例如当尝试访问 java 类时。

这将允许其他真正的 javascript 对象在没有障碍的情况下执行...

是否有其他方法可以阻止调用 java 对象来执行我希望沙箱操作的操作？

Rhino SecurityController

我不太确定，必须尝试 callWithDomain() 方法。

Answer 1

解决我的问题的支持方法是注册一个 ClassShutter。