[英]security exception when loading web image in jar
我试图创建一个将在浏览器中运行的Java jar Applet,从URL下载图像并将其显示给用户。 我的实现是:
try {
String imageURL = "http://www.google.com/intl/en_ALL/images/logo.gif";
URL url = new URL(imageURL);
img = ImageIO.read(url);
} catch (IOException e) {
System.out.println(e);
}
但这给了我一个安全例外:
java.security.AccessControlException: access denied (java.net.SocketPermission www.google.com:80 connect,resolve)
解:
我已经实现了Knife-Action-Jesus的建议,并且可以在Web浏览器中使用(但不能使用applet查看器)。
仅使用applet查看器,我仍然会遇到:
java.security.AccessControlException: access denied (java.net.SocketPermission www.google.com:80 connect,resolve)
在浏览器中加载网页时,有一个“信任/拒绝”对话框,如果单击“信任”,则会显示该图像。
这些是我正在采取的步骤:
ant makejar
jarsigner -keystore keystore-name -storepass password -keypass password web/LoadImageApp.jar alias-name
jarsigner -verify -verbose web/LoadImageApp.jar
appletviewer web/index.html ## as mentioned above, this gives a security exception. instead, load the webpage in a browser.
jarsigner -verify的输出为:
Warning: The signer certificate will expire within six months.
332 Thu Jan 07 20:03:38 EST 2010 META-INF/MANIFEST.MF
391 Thu Jan 07 20:03:38 EST 2010 META-INF/ALIAS-NA.SF
1108 Thu Jan 07 20:03:38 EST 2010 META-INF/ALIAS-NA.DSA
sm 837 Thu Jan 07 20:03:38 EST 2010 LoadImageApp$1.class
sm 925 Thu Jan 07 20:03:38 EST 2010 LoadImageApp.class
sm 54 Wed Jan 06 01:28:02 EST 2010 client.policy
s = signature was verified
m = entry is listed in manifest
k = at least one certificate was found in keystore
i = at least one certificate was found in identity scope
jar verified.
以下是完整的Java源代码(为强调这一概念,我删除了所有多余的异常处理/空检查):
import java.awt.*;
import java.awt.image.*;
import javax.imageio.*;
import javax.swing.*;
import java.net.*;
import java.security.*;
public class LoadImageApp extends JApplet
{
private BufferedImage img;
private final String imageURL = "http://www.google.com/intl/en_ALL/images/logo.gif";
public void init()
{
loadImage();
}
public void paint(Graphics g)
{
if (null != img) { g.drawImage(img, 0, 0, null); }
}
public void loadImage()
{
AccessController.doPrivileged(new PrivilegedAction()
{
public Object run()
{
try
{
URL url = new URL(imageURL);
if (null == url)
{
throw new MalformedURLException();
}
img = ImageIO.read(url);
}
catch (Exception e) { e.printStackTrace(); }
return null;
}
});
}
}
遇到异常是因为默认情况下,小程序会加载到沙箱安全性中,因此,沙箱仅允许您与服务小程序的域建立url连接。 这意味着除非您的applet由google托管,否则您无法创建与google的url连接。
您需要执行以下操作才能正确连接到远程URL。
至少创建一个自签名证书,理想情况下,您具有通过verisign或您选择的其他证书颁发机构(CA)链接回的经过验证的证书。 证书说明
使用jarsigner签名您的jar。 签名说明
现在,您可以将代码包装在特权块中,如下所示
try
{
final String imageURL = "http://www.google.com/intl/en_ALL/images/logo.gif";
URL url = (URL) AccessController.doPrivileged(new PrivilegedAction()
{
public Object run()
{
try
{
return new URL(imageURL);
}
catch (MalformedURLException e)
{
e.printStackTrace();
return null;
}
}
});
if(url == null)
{
// Something is wrong notify the user
}
else
{
// We know the url is good so continue on
img = ImageIO.read(url);
}
}
catch (IOException e)
{
System.out.println(e);
}
我导入了您的applet代码,并进行了一些切换,将img实例从特权块中拉出并让该块返回一个url。 当我将其加载到Web浏览器中时,此方法有效。
import java.applet.Applet;
import java.awt.*;
import java.awt.image.*;
import javax.imageio.*;
import javax.swing.*;
import java.io.IOException;
import java.net.*;
import java.security.AccessController;
import java.security.PrivilegedAction;
public class LoadImageApp extends Applet
{
private BufferedImage img;
private final String imageURL = "http://www.google.com/intl/en_ALL/images/logo.gif";
public void init()
{
loadImage();
}
public void paint(Graphics g)
{
if (null != img) { g.drawImage(img, 0, 0, null); }
}
public void loadImage()
{
URL url = (URL) AccessController.doPrivileged(new PrivilegedAction()
{
public Object run()
{
try
{
return new URL(imageURL);
}
catch (Exception e) { e.printStackTrace(); }
return null;
}
});
try {
img = ImageIO.read(url);
} catch (IOException e) {
e.printStackTrace();
}
}
}
看来您正在运行的是applet,而不是普通的应用程序。 小程序不允许从其加载的域中检索任何资源。 这个想法是为了防止“不良”应用程序调用类似
String targetURL = "http://www.foo.bar/spoof?source" + System.getProperty("...);
或将其他类型的数据传输到未知目的地。
your applet. 如果确实需要检索外部数据,则必须对小程序 。
复制/粘贴以下文本:
授予{权限java.security.AllPermission;};
像这样启动应用程序:
java -jar yourjar.jar -Djava.security.policy = policy.all
听起来好像您不是要创建将通过命令行运行的jar
文件,而是要在浏览器中执行的applet。 如果是这样,那么您将很不走运,因为小应用程序仅被允许访问从中加载它们的服务器。 如果您确实要从小程序访问其他服务器,则必须对小程序进行签名; Google可以帮助您找到更多信息。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.