利用數位簽章超越Java Applet的安全限制

最後更新：2018-12-05 來源：互聯網

上載者：User

創建阿里雲帳戶，並獲得超過 40 款產品的免費試用版；而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊！

結合這幾種技術就可以達到本文的目的了，下面就是本文的目標代碼，它是一個可以讀取本地檔案系統的Applet：

　　代碼1

/------------------------------------- package jcomponent; import java.awt.*; import java.awt.event.*; import java.applet.*; import java.io.*; public class FileReaderApplet extends Applet { boolean isStandalone = false; TextField fileNameField; TextArea fileArea; file://Get a parameter value public String getParameter(String key, String def) { 　return isStandalone ? System.getProperty(key, def) : 　(getParameter(key) != null ? getParameter(key) : def); } file://Construct the applet public FileReaderApplet() { } file://Initialize the applet public void init() { try { jbInit(); } catch(Exception e) { e.printStackTrace(); } } file://Component initialization private void jbInit() throws Exception { this.setSize(new Dimension(400,300)); this.setLayout(new BorderLayout()); Panel panel=new Panel(); Label label=new Label("File Name"); panel.add(label); fileNameField=new TextField(25); panel.add(fileNameField); Button b=new Button("Open File"); b.addActionListener(new ActionListener(){ public void actionPerformed(ActionEvent e){ loadFile(fileNameField.getText()); } }); panel.add(b); this.add(panel,BorderLayout.NORTH); fileArea=new TextArea(); this.add(fileArea,BorderLayout.CENTER); } public void loadFile(String fileName){ try{ BufferedReader reader=new BufferedReader(new FileReader(fileName)); String context=new String(); while((context=reader.readLine())!=null){ fileArea.append(context+"/n"); } reader.close(); }catch(IOException ie){ fileArea.append(ie.getMessage()); }catch(SecurityException se){ fileArea.append("because of security constraint ,it can not do that!"); } } file://Get Applet information public String getAppletInfo() { return "This is an applet can read and write the local file system"; } }

　　如果你將這個代碼嵌入網頁中並執行它，當你試圖開啟一個本地檔案時就會發生SecurityException。大家跟著我進行下面的步驟就可以最終擁有讀寫檔案的許可權。在此之前你需要有以下的工具：JDK1.1以上、JRE、HTMLConvert。這些工具在SUN的Java網站上都有，而且也是免費的。將它們分別安裝好，我們將所有涉及的檔案都放在c:/admin中。

打包的名稱要跟類packeg的名稱使用的名稱一致

　　步驟一：（打包class檔案）

　　在命令列中執行以下的語句：jar -cvf MyApplet.jar class

　　注意這裡的所有.class檔案均是放在一個class的目錄中的。本步驟執行完畢後，將在c:/admin中產生一個名為MyApplet.jar的檔案。

　　步驟二：（在網頁中嵌入Applet）

　　這個網頁的名字叫做FileReaderApplet.html，下面是嵌入Applet部分的寫法：

＜APPLET CODEBASE = "." CODE = "jcomponent.FileReaderApplet.class" ARCHIVE ="MyClass.jar" NAME = "TestApplet" WIDTH = 400 HEIGHT = 300 HSPACE = 0 VSPACE = 0 ALIGN = middle ＞＜/APPLET＞

　　完成這個步驟後，這個Applet已經可以顯示了。但是還不能讀寫本地的檔案系統。

　　步驟三：（產生認證及簽名）

　　請在命令列環境下執行以下的命令：

　　 1、keytool -genkey -keystore pepper.store -alias pepper

　　這個命令用來產生一個密匙庫，執行完畢後應該在c:/admin中產生一個pepper.store的檔案，這裡的pepper是我自己的名字，你可以對它進行修改。另外在執行命令的時候還有提示你輸入密匙庫的密碼，這裡你一定要記住，否則後面要用的時候無法輸入。

　　2、keytool -export -keystore pepper.store -alias pepper -file pepper.cert

　　這個命令用來產生簽名時所要用的認證，同樣這裡的pepper也可以換成你自己需要的名字。這個命令執行完後在c:/admin中產生一個pepper.cert的檔案。

　　4、 jarsigner -keystore pepper.store MyApplet.jar pepper

　　這個命令用上面產生的認證將我們的jar檔案進行了簽名。

　　步驟四：（修改檔案）

　　1、在c:/admin中產生一個名為applet.policy的檔案，其內容如下：

keystore "file:c: /admin/pepper.store", "JKS"; grant signedBy "pepper" { permission java.io.FilePermission "＜＜ALL FILES＞＞", "read"; };

　　這個檔案讓由pepper簽名的Applet擁有本地所有檔案的讀許可權。

　　2、修改${java.home}/jre/lib/security目錄下的java.security，找到下面這兩行：

policy.url.1=file:${java.home}/lib/security/java.policy policy.url.2=file:${user.home}/.java.policy

　　在下面添寫第三行

policy.url.3=file:c: /admin/applet.policy

　　完成這個修改後我們在前面建立的applet.policy檔案才有效。

　　步驟五：（轉換html檔案）

　　運行前面提到的HTMLConvert工具，將原有的FileReaderApplet.html轉化成下面的形式：

＜!--"CONVERTED_APPLET"--＞＜!-- CONVERTER VERSION 1.3 --＞＜OBJECT classid="clsid:8AD9C840-044E-11D1-B3E9-00805F499D93" WIDTH = 400 HEIGHT = 300 NAME = "TestApplet" ALIGN = middle VSPACE = 0 HSPACE = 0 codebase="http://java.sun.com/products/plugin/1.3/jinstall-13-win32.cab#Version=1,3,0,0"＞＜PARAM NAME = CODE VALUE = "jcomponent.FileReaderApplet.class" ＞＜PARAM NAME = CODEBASE VALUE = "." ＞＜PARAM NAME = ARCHIVE VALUE = "MyApplet.jar" ＞＜PARAM NAME = NAME VALUE = "TestApplet" ＞＜PARAM NAME="type" VALUE="application/x-java-applet;version=1.3"＞＜PARAM NAME="scriptable" VALUE="false"＞＜COMMENT＞＜EMBED type="application/x-java-applet;version=1.3" CODE = "jcomponent.FileReaderApplet.class" CODEBASE = "." ARCHIVE = "MyApplet.jar" NAME = "TestApplet" WIDTH = 400 HEIGHT = 300 ALIGN = middle VSPACE = 0 HSPACE = 0 scriptable=false pluginspage="http://java.sun.com/products/plugin/1.3/plugin-install.html"＞＜NOEMBED＞＜/COMMENT＞＜/NOEMBED＞＜/EMBED＞＜/OBJECT＞＜!-- ＜APPLET CODE = "jcomponent.FileReaderApplet.class" CODEBASE = "." ARCHIVE = "MyApplet.jar" WIDTH = 400 HEIGHT = 300 NAME = "TestApplet" ALIGN = middle VSPACE = 0 HSPACE = 0＞＜/APPLET＞ --＞＜!--"END_CONVERTED_APPLET"--＞

　　大家不要看到這裡的寫法很複雜，但是這些都是由HTMLConvert工具自動實現的。這個工具有命令列和圖形介面兩種運行方式。

　　好了，現在這個Applet可以運行讀寫檔案的功能了。如果你要考慮在Internet上實現這個Applet，那麼你也不需要在所有的用戶端均做上面的步驟，你只需要在你的伺服器上建立一個目錄，例如c:/admin，將這個目錄映射為www.testApplet.com/admin。這裡的www.testApplet.com是一個假定的網址，將pepper.cert、pepper.store、FileReaderApplet.html、MyApplet.jar以及applet.policy放在這個目錄中，然後修改applet.policy檔案如下：

keystore "http:// www.testApplet.com/admin/pepper.store", "JKS"; grant signedBy "pepper" { permission java.io.FilePermission "＜＜ALL FILES＞＞", "read"; };

　　3、而每個用戶端僅僅需要修改一下它們的${java.home}/jre/lib/security目錄下的java.security檔案如下：

policy.url.1=file:${java.home}/lib/security/java.policy policy.url.2=file:${user.home}/.java.policy policy.url.3= http:// www.testApplet.com/admin/applet.policy

　　當然每個用戶端還是需要安裝JRE的，不過現在的瀏覽器安裝時都已經自動安裝了。

本文章原先以中文撰寫並發佈於 aliyun.com，亦設英文版本，僅作資訊用途。本網站不對文章的準確性，完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴，請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡，一經驗證之後，即會刪除該侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

Sales Support

1 on 1 presale consultation

Chat Contact Sales
After-Sales Support

24/7 Technical Support 6 Free Tickets per Quarter Faster Response

Open a Ticket
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

Learn More