【JVM】JVM的沙箱机制

最新推荐文章于 2024-03-14 08:00:00 发布
最新推荐文章于 2024-03-14 08:00:00 发布
阅读量5.5k 收藏 12
点赞数 2
分类专栏: Java Java进阶 Java虚拟机 文章标签: 虚拟机 java jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyazhou0215/article/details/76794480
版权
Java 同时被 3 个专栏收录
59 篇文章 1 订阅
订阅专栏
Java进阶
24 篇文章 1 订阅
订阅专栏
Java虚拟机
7 篇文章 4 订阅
订阅专栏

【JVM】JVM的沙箱机制

我们平时说Java是安全的,可以使用户免受而已程序的侵犯,这是因为Java提供了一个“沙箱”机制,这个“沙箱”基本组件包括如下4部分:

1、类装载器
在Java沙箱中,类装载体系结构是第一道防线,可以防止而已代码去干扰正常程序代码,这是通过由不同的类装载器装入的类提供不同的命名空间来实现的。命名空间由一系列唯一的名称组成,每一个被装载的类都有不同的命名空间是由Java虚拟机为每一个类装载器维护的。

类装载器体系结构在三个方面对java的沙箱起作用

1)它防止恶意代码区干涉善意的代码
2)它守护了被信任的类库边界
3)它将代码归入保护域,该域确定了代码可以进行哪些操作。

2、Class文件检验器

Class文件检验器保证装载的class文件内容的内部结构的正确,并且这些class文件相互协调一致。
Class文件检验器实现的安全目标之一就是程序的健壮性,JAVA虚拟机的class文件检验器要进行四趟扫描来完成它的操作:

第一趟:此次扫描是在类被装载的时候进行的,在这次扫描中,class文件检验器检查这个class文件的内部结构,以确保它能够被安全的编译。

第四趟:这次扫描是在进行动态连接的过程中解析符号引用时进行的,在这次扫描中,class文件检验器确认被引用的类、字段以及方法确实存在。

3、 内置于Java虚拟机的安全特性
Java虚拟机装载一个类,并且对它进行了第一到第三趟的class文件检验,这些字节码就可以运行了。除了对符号引用的检验,Java虚拟机在执行字节码时还进行其他一些内置的安全机制的操作。这些机制大多数是java的类型安全的基础,它们作为java语言程序健壮性的特性。

1、类型安全的引用转换
2、结构化的内存访问
3、 自动垃圾收集
4、 数组边界检查
5、空引用检查

4、安全管理及Java API
Java安全模型的前三个组成部分——类装载器体系结构,class文件检验器及java中的内置安全特性一起达到一个共同的目的:保持java虚拟机的实例和它正在运行的应用程序的内部完整性,使得它们不被恶意代码侵犯。
相反,这个安全模型的第四个组成部分是安全管理器,它主要用于保护虚拟机的外部资源不被虚拟机内运行的恶意代码侵犯。这个安全管理器是一个单独的对象,在运行的java虚拟机中,它在访问控制对于外部资源的访问中起中枢的作用。

参考:
《深入理解Java虚拟机:JVM高级特性与最佳实践》及其他文档

声明:图片来自源于网络。这是之前整理的word笔记,没有注明图片具体来源,抱歉。在此向贡献图片的人表示感谢。

LYZ0907
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
JVM-SandBox使用入门
taoyanzhuceni的博客
06-21 1859
在一些基础组件的开发过程中,需要对业务代码无侵入,这里演示下JVM-SandBox的使用。
jcage:运行时可配置的JVM沙箱
05-15
笼子 有关更多信息,请参见 。
djvmJVM的确定性沙箱
02-09
确定性JVM库。 介绍。 < dependency> < groupId>net.corda.djvm</ groupId> < artifactId>djvm</ artifactId> < version>${version}</ version> </ dependency> 确定性JVM(DJVM)实现了Java 8 ClassLoader,其中包含其输入仅由用户提供的类。 因此,从这些类构建的操作将是“纯”的,即它们的输出将仅由其输入确定,并且不受硬件随机数生成器,系统时钟,网络数据包或本地文件系统的内容等因素的影响。 创建沙箱沙箱最终等效于SandboxClassLoader的实例。 我们分阶段创建其中之一。 UserSource。 DJVM从DJVM的UserSource接口的实现中读取“源”字节代码。 package n
一文说透安全沙箱技术
最新发布
ZL_1618的博客
03-14 535
安全沙箱技术是一种用于隔离应用程序或进程的安全机制,它可以在计算机系统中创建一个受限的环境,以防止应用程序或进程对系统造成潜在的安全威胁。在安全沙箱中,应用程序或进程被限制在一个虚拟环境中运行,这个虚拟环境通常被称为沙箱沙箱可以提供一些虚拟的硬件和软件资源,如文件系统、网络、操作系统等,使应用程序或进程可以在这个虚拟环境中运行,而不会对计算机系统产生任何不良影响。如果应用程序或进程试图访问沙箱之外的资源或执行危险操作,沙箱会拦截这些请求并采取相应的安全措施,例如禁止该操作或中止应用程序或进程。
Jvm-Sandbox原理分析-Sandbox的启动-01
Mr_Xu12308的博客
05-19 1267
Jvm-Sandbox的启动(一):sandbox.sh脚本分析 Sandbox的启动是通过其内置的shell脚本 sandbox.sh 开始执行的,一切的开始皆可从该脚本中探寻出结果。脚本有一定的代码量,大概有400+行,这里将该脚本分为如下几个部分进行讲解: 1、变量定义过程 这个过程首先预定义了接下来即将使用的一些变量。代码如下: # 定义sandbox的home目录,并为其赋值 typeset SANDBOX_HOME_DIR [[ -z ${SANDBOX_HOME_DIR} ]] &&
JVM SandBox简要介绍
热门推荐
weixin_36996888的博客
10-15 1万+
JVM-SANDBOX(沙箱)实现了一种在不重启、不侵入目标JVM应用的AOP解决方案。 沙箱的特性 无侵入:目标应用无需重启也无需感知沙箱的存在 类隔离:沙箱以及沙箱的模块不会和目标应用的类相互干扰 可插拔:沙箱以及沙箱的模块可以随时加载和卸载,不会在目标应用留下痕迹 多租户:目标应用可以同时挂载不同租户下的沙箱并独立控制 高兼容:支持JDK[6,11] 沙箱常见应用场景 线上故障定位 线上系统流控 线上故障模拟 方法请求录制和结果回放 动态日志打印 安全信息监测和脱敏 .
JVM Sandbox入门详解
听得到微笑的博客
05-27 6404
在日常开发中,经常会接触到面向AOP编程的思想,我们通常会使用Spring AOP来做统一的权限认证、异常捕获返回、日志记录等工作。之所以使用Spring AOP来实现上述功能,是因为这些场景本质上来说都是与业务场景挂钩的,但是具有一定的抽象程度,并且绝大多数业务逻辑类都已经被Spring容器托管了。
JVM SandBox实现原理详解
bhegi_seg的博客
04-19 4721
1、什么是JVM SandBox JVM SandBox(沙箱)实现了一种非侵入式运行期的AOP解决方案。JVM SandBox属于基于Instrumentation的动态编织类的AOP框架,可以在不重启应用的情况下,在运行时完成目标方法的增强和替换,同时沙箱以及沙箱的模块可以随时加载和卸载 主要特性如下: 无侵入:目标应用无需重启也无需感知沙箱的存在 类隔离:沙箱以及沙箱的模块不会和目标应用的类相互干扰 可插拔:沙箱以及沙箱的模块可以随时加载和卸载,不会在目标应用留下痕迹 多租户:目标应用可以同时挂载不
jvm沙箱安全机制
qq_39126517的博客
03-09 733
沙盒安全机制java安全模型的核心,它严格限制现在运行在jvm上面的代码对系统资源的访问。 系统资源包括 cpu 内存 网络等 现在的安全模型就是,jvm给不同的代码分配不同的域,该代码就拥有这个域所拥有的对于本地资源的全部权限。(域类似于角色) 沙箱安全机制的组成部分:1.字节码校验器:它保证java代码符合java语言规范,核心类由于已经校验过了封装好的,字节码不会校验核心类 2.类加载器,类加载器是利用了双亲委派机制,它保证了好的代码不会被坏的代码污染 它定义了被信任类库的边界 为代码.
(JVM) 沙箱安全机制
QRLYLETITBE的博客
01-12 514
沙箱安全机制 & 各JDK版本时期的沙箱安全机制的演变细节
QA:GCT Cukes-JVM 的初始 QA 沙箱
06-04
qa-bdd-gct GCT / Cukes-JVM 的初始 QA 沙箱
JVM-SANDBOX基于JVM的实时无侵入AOP框架容器
08-08
JVM-SANDBOX 基于JVM的实时无侵入AOP框架容器
Android代码-JVM-Sandbox
08-06
> JVM沙箱容器,一种JVM的非侵入式运行期AOP解决方案 > Real - time non-invasive AOP framework container based on JVM 目标群体 BTRACE好强大,也曾技痒想做一个更便捷、更适合自己的问题定位工具,既可支持线上...
jvm-sandbox:基于JVM的实时非侵入AOP框架容器
03-31
JVM沙箱容器,一种JVM的非侵入式运行期AOP解决方案基于JVM的实时非侵入AOP框架容器目标人群好强大,也曾技痒想做一个更便捷,更适合自己的问题定位工具,既可支持在线远程监控排查,也可支持单机版问题定位。...
沙箱安全机制
m0_73467713的博客
03-18 714
沙箱是一个限制程序运行的环境沙箱主要限制系统资源的访问,如cpu,内存等等。不同级别的沙箱对这些资源的访问限制也不一样)就是将java代码限定在虚拟机jvm) 特定的运行范围中,并且严格限制代码对本地系统资源的访问,通过这样的措施来保证对代码的有效隔离,防止对系统造成破坏。
JVM详解-沙箱安全机制
baidu_38126306的博客
11-03 1441
JVM详解 -> 沙箱安全机制 历史 Java安全模型的核心就是Java沙箱(sandbox),什么是沙箱沙箱是一个限制程序运行的环境沙箱机制就是将 Java 代码限定在虚拟机(JVM)特定的运行范围中,并且严格限制代码对本地系统资源访问,通过这样的措施来保证对代码的有效隔离,防止对本地系统造成破坏。 沙箱主要限制系统资源访问,那系统资源包括什么?——CPU、内存、文件系统、网络。不同级别的沙箱对这些资源访问的限制也可以不一样。 所有的Java程序运行都可以指定沙箱,可以定制安全策
阿里JVM SANDBOX原理
xidianhuihui的专栏
03-11 1239
一、前言 在开始之前,我们先来模拟一下以下的场景: 小李:“小明,你的接口没有返回数据,麻烦帮忙看一下?” 小明:“我这边的数据也是从别人的服务器中拿到的,但是我不确定是因为逻辑处理有问题导致没有结果,还是因为我依赖的服务有问题而没有返回结果,我需要确认一下。” 小明:“哎呀,线上没有日志,我需要加个日志上个线。” 30 分钟之后…… 小明:“不好意思,日志加错地方了……稍等……” 接来下隆重登场的就是本文的主角 JVM SandBox 了。基于 JVM SandBox,我们可以很容易地做到在不重新部署应用
jvm-sandbox分享
sky_100的博客
06-26 1490
引子 相信大家都遇到过这种场景,线上出故障了,但是关键代码里面忘记打日志了,导致无法复现和准确定位问题。这时候可能需要重写加上日志,部署到服务器,但这第一耗时间,第二可能破坏现场,比如可能是线程池的问题呢?所以如果可以不重启服务器,就可以给代码加上日志,是多么棒的一件事呀。那能不能实现,of course。 简述实现 当然市面上有很多工具可以实现热部署,我们先来看一下,如果我们自己实现,思路是什么。我们知道Java对象的行为(函数,方法)是存储在方法区的,从下图可以看到,方法区的数据是由类加载器把编译好的.
jvm-sandbox:基础了解及demo演示
一个Tester的博客
01-04 2079
jvm-sandbox:基础了解及demo演示
jvm-sandbox
07-28
JVM-Sandbox是一个基于Java虚拟机JVM)的沙箱环境,用于限制Java应用程序的权限和资源访问。它提供了一种安全的执行环境,可以防止恶意代码对系统造成损害。 JVM-Sandbox通过使用Java安全管理器和安全策略文件来实现权限限制。安全管理器允许开发人员定义自定义的安全策略来控制应用程序的行为,例如限制文件系统访问、网络访问、反射操作等。安全策略文件定义了被允许或禁止的操作,可以根据应用程序的需求进行配置。 JVM-Sandbox还提供了对JVM的细粒度控制,可以限制应用程序对CPU、内存和线程等资源的使用。这有助于防止应用程序耗尽系统资源或导致系统崩溃。 JVM-Sandbox通常用于执行不受信任的代码,例如第三方插件或用户提交的脚本。它可以提供额外的安全层,以防止恶意代码对主机系统或其他应用程序造成危害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值