Java 安全性：通过 URLClassLoader 加载的沙箱插件

问题摘要：如何修改下面的代码，以便不受信任的动态加载代码在安全沙箱中运行，而应用程序的其余部分保持不受限制？为什么 URLClassLoader 不像它所说的那样处理它？

编辑：更新以回应 Ani B.

编辑 2：添加了更新的 PluginSecurityManager。

我的应用程序有一个插件机制，第三方可以提供一个包含实现特定接口的类的 JAR。使用 URLClassLoader，我可以加载该类并实例化它，没有问题。由于该代码可能不受信任，因此我需要防止其行为不当。例如，我在单独的线程中运行插件代码，以便在它进入无限循环或花费太长时间时可以终止它。但尝试为他们设置一个安全沙箱，使他们无法执行诸如建立网络连接或访问硬盘驱动器上的文件之类的事情，这让我非常抓狂。我的努力总是导致要么对插件没有影响（它与应用程序具有相同的权限），要么限制应用程序。我希望主应用程序代码能够做几乎任何它想做的事情，但插件代码被锁定。

有关该主题的文档和在线资源非常复杂、令人困惑且矛盾。我在很多地方读过（例如这个问题 https://stackoverflow.com/questions/502218/sandbox-against-malicious-code-in-a-java-application）我需要提供一个自定义的 SecurityManager，但是当我尝试它时，我遇到了问题，因为 JVM 延迟加载 JAR 中的类。所以我可以很好地实例化它，但如果我在加载的对象上调用一个方法来实例化同一个 JAR 中的另一个类，它就会崩溃，因为它被拒绝从 JAR 读取的权利。

理论上，我可以在 SecurityManager 中检查 FilePermission，看看它是否正在尝试从自己的 JAR 中加载。那很好，但是URLClassLoader 文档 http://download.oracle.com/javase/6/docs/api/说：“默认情况下，加载的类仅被授予访问创建 URLClassLoader 时指定的 URL 的权限。”那么为什么我还需要一个自定义的 SecurityManager 呢？ URLClassLoader 不应该处理这个吗？为什么不呢？

这是重现该问题的简化示例：

主要应用程序（可信）

插件测试.java

package test.app;

import java.io.File;
import java.net.URL;
import java.net.URLClassLoader;

import test.api.Plugin;

public class PluginTest {
    public static void pluginTest(String pathToJar) {
        try {
            File file = new File(pathToJar);
            URL url = file.toURI().toURL();
            URLClassLoader cl = new URLClassLoader(new java.net.URL[] { url });
            Class<?> clazz = cl.loadClass("test.plugin.MyPlugin");
            final Plugin plugin = (Plugin) clazz.newInstance();
            PluginThread thread = new PluginThread(new Runnable() {
                @Override
                public void run() {
                    plugin.go();
                }
            });
            thread.start();
        } catch (Exception ex) {
            ex.printStackTrace();
        }
    }
}

插件.java

package test.api;

public interface Plugin {
    public void go();
}

插件安全管理器.java

package test.app;

public class PluginSecurityManager extends SecurityManager {
    private boolean _sandboxed;

    @Override
    public void checkPermission(Permission perm) {
        check(perm);
    } 

    @Override
    public void checkPermission(Permission perm, Object context) {
        check(perm);
    }

    private void check(Permission perm) {
        if (!_sandboxed) {
            return;
        }

        // I *could* check FilePermission here, but why doesn't
        // URLClassLoader handle it like it says it does?

        throw new SecurityException("Permission denied");
    }

    void enableSandbox() {
    _sandboxed = true;
    }

    void disableSandbox() {
        _sandboxed = false;
    }
}

PluginThread.java

package test.app;

class PluginThread extends Thread {
    PluginThread(Runnable target) {
        super(target);
    }

    @Override
    public void run() {
        SecurityManager old = System.getSecurityManager();
        PluginSecurityManager psm = new PluginSecurityManager();
        System.setSecurityManager(psm);
        psm.enableSandbox();
        super.run();
        psm.disableSandbox();
        System.setSecurityManager(old);
    }
}

插件 JAR（不受信任）

MyPlugin.java

package test.plugin;

public MyPlugin implements Plugin {
    @Override
    public void go() {
        new AnotherClassInTheSamePlugin(); // ClassNotFoundException with a SecurityManager
        doSomethingDangerous(); // permitted without a SecurityManager
    }

    private void doSomethingDangerous() {
        // use your imagination
    }
}

UPDATE:我对其进行了更改，以便在插件代码即将运行之前，它会通知 PluginSecurityManager，以便它知道它正在使用哪个类源。然后它将只允许对该类源路径下的文件进行文件访问。这还有一个很好的优点，我可以在应用程序开始时设置安全管理器一次，然后在输入和离开插件代码时更新它。

这几乎解决了问题，但没有回答我的另一个问题：为什么 URLClassLoader 不像它所说的那样为我处理这个问题？我会把这个问题再留一段时间，看看是否有人能回答这个问题。如果是这样，那个人将得到接受的答案。否则，我会将其授予 Ani B.，前提是 URLClassLoader 文档是谎言，并且他关于制作自定义 SecurityManager 的建议是正确的。

PluginThread 必须在插件安全管理器上设置 classSource 属性，这是类文件的路径。插件 SecurityManager 现在看起来像这样：

package test.app;

public class PluginSecurityManager extends SecurityManager {
    private String _classSource;

    @Override
    public void checkPermission(Permission perm) {
        check(perm);
    } 

    @Override
    public void checkPermission(Permission perm, Object context) {
        check(perm);
    }

    private void check(Permission perm) {
        if (_classSource == null) {
            // Not running plugin code
            return;
        }

        if (perm instanceof FilePermission) {
            // Is the request inside the class source?
            String path = perm.getName();
            boolean inClassSource = path.startsWith(_classSource);

            // Is the request for read-only access?
            boolean readOnly = "read".equals(perm.getActions());

            if (inClassSource && readOnly) {
                return;
            }
        }

        throw new SecurityException("Permission denied: " + perm);
    }

    void setClassSource(String classSource) {
    _classSource = classSource;
    }
}

来自文档：
The AccessControlContext of the thread that created the instance of URLClassLoader will be used when subsequently loading classes and resources.

The classes that are loaded are by default granted permission only to access the URLs specified when the URLClassLoader was created.

URLClassLoader 的作用与它所说的完全一样，AccessControlContext 是您需要查看的。基本上，AccessControlContext 中引用的线程没有权限执行您认为它执行的操作。