在没有安全策略文件的情况下阻止在groovy Web控制台中System.exit

我查看了groovy的“noexitSecurityManager”,发现它确实在这样做:不允许System.exit()。这还不够。

我的解决方案是创建自己的类“DisallowAllSecurityManager”,它扩展了SecurityManager,并通过在每次检查中抛出SecurityException来禁用脚本不需要的所有内容,如对文件系统的写访问或连接到其他主机。方法。

但是:您不能在所有检查中抛出异常。方法。这是支票清单……您需要允许的方法:

• 检查CreateClassLoader()。
• 检查成员访问()
• 检查包访问()
• 检查权限()
• 检查属性访问()
• 检查读取()

当您想要评估您的groovy脚本时,您可以按以下方式进行,只限制groovy脚本:

SecurityManager securityManager = System.getSecurityManager();
try {
 System.setSecurityManager(new DisallowAllSecurityManager());
 Object result = groovyShell.evaluate(expression);
        ...
} catch (...) {
        ...
} finally {
        System.setSecurityManager(securityManager);
}

groovy为此配备了专门的安全管理器。只需在运行脚本之前设置,

        System.setSecurityManager(new NoExitSecurityManager());

也见 http://www.jroller.com/melix/entry/customizing_groovy_compilation_process