MAC OSX 沙盒机制

最新推荐文章于 2024-06-07 11:54:52 发布
最新推荐文章于 2024-06-07 11:54:52 发布
阅读量1.4w 收藏 2
点赞数

OSX 沙盒机制

OSX自从10.6系统开始引入沙盒机制,规定发布到Mac AppStore的应用,必须遵守沙盒约定。沙盒对应用访问的系统资源,硬件外设,文件,网络,XPC,都做了严格的限制,这样能防止恶意的App通过系统漏洞,攻击系统,获取控制权限,保证了OSX系统的安全。

沙盒相当于给每个App一个独立的空间,你只能在自己的小天地里面玩。要获取自己空间之外的资源必须获得授权。

SandBox

 应用沙盒化

应用开发完成提交到App Store时,必须进行沙盒化。切换到工程target设置Tab的Capabilities中,第一项就是App Sandbox开关,点击ON,表示应用使用沙盒。

SandBoxConfig

我们来逐一看看沙盒的这些设置项.

  1. Network:网络访问控制
    Incoming Connections(Server) :应用做为Server对外提供HTTP,FTP等服务时需要打开
    Outgoing Connections(Client):做为客户端,访问服务器时需要打开

  2. Hardware:硬件资源控, Printing为必须勾选。App的默认第一个顶级菜单中有打印功能的子菜单。
    Camera
    Micophone
    USB
    Printing

  3. App Data:获取系统的联系人,位置,日历服务时需要打开
    Contacts
    Location
    Calendar

  4. File Access:文件和用户目录的访问控制,分为禁止none,只读,读写3类
    User Selected File:文档类应用或者需要用户选择打开某个文件时,需要选择合适的访问权限.
    Downloads Folder
    Pictures Folder
    Music Folder
    Movies Folder

上图的沙盒配置表示应用需要连接服务器获取数据;应用菜单中有打印功能的菜单;允许用户打开文件并进行读写操作。

如果应用中不需要的权限项,一律不要打开。否则App Review团队会拒绝你的应用上架.

沙盒配置信息存储

沙盒中每个需要访问权限的项都对应一个key,对应的value,YES 或 NO表示是否允许访问。

选择配置了沙盒的访问控制信息后,Xcode会自动保存到一个扩展名为.entitlements的plist文件中

entitlements

应用打包时会对这个文件进行签名
entitlements-codesign

.entitlements文件是一个plist文件,里面存储了sandbox的访问权限配置项信息.

<?xml version=1.0 encoding=UTF-8?>
<!DOCTYPE plist PUBLIC -//Apple//DTD PLIST 1.0//EN http://www.apple.com/DTDs/PropertyList-1.0.dtd>


com.apple.security.app-sandbox

com.apple.security.files.user-selected.read-write

com.apple.security.network.client

com.apple.security.print


应用运行期间要获取某个权限时,系统都会通过.entitlements去检查应用是否有授权,如果没有就拒绝访问。

文件沙盒编程

我们通过一个简单的文件读写访问App来说明一下文件应用如何沙盒化。

App功能包括如下:

  1. 用户打开一个txt文本文件,将文件路径显示到TextField输入框,内容显示到TextView中。
  2. 用户可以修改文件,修改后可以保存。
  3. 应用下一次启动时能自动打开上次修改过的文件。

8.3.1 设计界面

拖放NSTextField,NSTextView, 2个NSButton到window界面上,调整大小位置如下图。
将NSTextField,NSTextView绑定到Outlet变量。

@property (weak) IBOutlet NSTextField *filePathField;
@property (unsafe_unretained) IBOutlet NSTextView *textView;

分别给2个按钮绑定事件响应方法。
- (IBAction)openFileAction:(id)sender
- (IBAction)saveFileAction:(id)sender

SandboxFileXib

代码实现:将首次打开的文件路径保存到NSUserDefaults,每次App启动先检查NSUserDefaults中是否保存有文件路径,有的话,读取文件内容显示。

App启动处理

  • (void)applicationDidFinishLaunching:(NSNotification *)aNotification {

    NSUserDefaults *defaults = [NSUserDefaults standardUserDefaults];

    NSString *path = [defaults objectForKey:kFilePath]; ;// @/Users/zhaojw/Desktop/my.txt;

    //如果文件路径不存在,不做任何处理
    if(!path){
    return ;
    }

    NSError *error;

    //文件路径显示

    self.filePathField.stringValue = path;

    NSURL *url = [NSURL fileURLWithPath:path];

    //读取文件内容

    NSString *string = [NSString stringWithContentsOfURL:url encoding:NSUTF8StringEncoding error:&error];

    if(!error){
    self.textView.string = string;
    }

}

打开文件处理流程

  • (IBAction)openFileAction:(id)sender {

    NSOpenPanel *openDlg = [NSOpenPanel openPanel];

    openDlg.canChooseFiles = YES ;

    openDlg.canChooseDirectories = YES;

    openDlg.allowsMultipleSelection = YES;

    openDlg.allowedFileTypes = @[@txt];

    NSUserDefaults *defaults = [NSUserDefaults standardUserDefaults];

    [openDlg beginWithCompletionHandler: NSInteger result{

    if(result==NSFileHandlingPanelOKButton){

    NSArray *fileURLs = [openDlg URLs];

    for(NSURL *url in fileURLs) {

        NSError *error;

        //保存文件路径
        [defaults setObject:url.path forKey:kFilePath];

        [defaults synchronize];

        self.filePathField.stringValue = url.path;

        //读取文件内容
        NSString *string = [NSString stringWithContentsOfURL:url encoding:NSUTF8StringEncoding error:&error];

        if(!error){
            self.textView.string = string;
        }

    }
}

    }];

}

保存文件

  • (IBAction)saveFileAction:(id)sender {

    NSUserDefaults *defaults = [NSUserDefaults standardUserDefaults];

    //获取文件路径
    NSString *path = [defaults objectForKey:kFilePath]; ;

    if(!path){
    return ;
    }

    NSString *text = self.textView.string;

    NSError *error;

    NSURL *url = [NSURL fileURLWithPath:path];
    //保存文件内容
    [text writeToURL:url atomically:YES encoding:NSUTF8StringEncoding error:&error];

    if(error){
    NSLog(@save file error %@,error);
    }

}

运行App,打开txt文件,修改保存。再次运行,能自动显示上次的文件内容,一切OK!

SandboxFileNoSBRun

应用沙盒化:打开App Sandbox开关,勾选On;在File Access中User Selected File项中选择Read/Write文件读写权限.

SandboxFileSettings

运行App,打开txt文件,文件内容能正常显示。修改内容保存后退出App。再次运行App,发现上次打开的文件内容不能显示了!问题出在哪里呢 ?

Security-scoped bookmark

在File Access中User Selected File项中选择Read/Write文件读写权限的,
沙盒有个默认的规则:在App运行期间通过NSOpenPanel打开的任意位置的文件,把这个这个路径保存下来,后面都是可以直接用这个路径继续访问获取文件内容的。

但是App重新启动后,这个文件路径就不能直接访问了。要想永久的获得应用的Container目录之外的文件,这里必须讲一下Security-Scoped Bookmark。

Security-scoped bookmarks有2种:

An app-scoped bookmark:可以对应用中打开的文件或文件夹在以后永久性访问而不需要再次通过NSOpenPanel打开。这种bookmark方式使用的比较多。

A document-scoped bookmark:提供对特定的文档的永久访问权。可以理解为针对文档嵌套的一种权限模式。比如你开发一个能编辑ppt文档的应用,里面嵌入了视频文件,图片文件连接。那么下次打开这个ppt文档时就能直接访问这些文件而不需要在通过NSOpenPanel打开获得授权。

保存打开的文件URL的bookmark

获取到URL的bookmarkData存储到NSUserDefaults

NSData *bookmarkData = [url bookmarkDataWithOptions:NSURLBookmarkCreationWithSecurityScope includingResourceValuesForKeys:nil relativeToURL:nil error:NULL];

应用启动时通过URL的bookmark获取文件授权

通过bookmark数据解析获取授权的NSURL,并且执行startAccessingSecurityScopedResource方法得到访问权限。
执行block回调完成相关内容读取后,执行stopAccessingSecurityScopedResource停止授权。

NSURL *allowedUrl = [NSURL URLByResolvingBookmarkData:bookmarkData options:NSURLBookmarkResolutionWithSecurityScope|NSURLBookmarkResolutionWithoutUI relativeToURL:nil bookmarkDataIsStale:&bookmarkDataIsStale error:NULL];

@try {
[allowedUrl startAccessingSecurityScopedResource];
block();
} @finally {
[allowedUrl stopAccessingSecurityScopedResource];
}

在打开一次文件,让应用保存文件的bookmark。关闭应用在执行一次,应用起动后你会发现文件的数据被自动读取出来了。

走在编程路上的乞丐
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mac OSX项目入门demo
03-28
Mac OSX项目入门demo,包括tableview使用,按钮使用等。
USB 串口 PL2303 MAC OSX 驱动
08-11
USB 串口 PL2303 MAC OSX 驱动,适用于 OS X 10.9 以上的版本。 Mac OS X Universal Binary Driver v1.6.2 (PKG file format) For Mac OS High Sierra (version 10.15) - see NOTE below. For Mac OS High Sierra ...
ios沙箱软件_MacOS 桌面软件入门
weixin_42301816的博客
12-30 532
五十一、Xcode Distribute后没有Submit to the iOS App Store解决https://blog.csdn.net/yuanbohx/article/details/12653159​blog.csdn.net五十、用于使用Swift编写HTTP Web服务器的轻量级库izqui/Taylor​github.com四十九、用Swift编程语言编写的微小的http服务...
【最新鸿蒙应用开发】——沙箱机制是什么?作用?场景?
最新发布
m0_68038853的博客
06-07 1392
在操作系统当中,(Sandboxing)是一种安全机制,用于限制程序代码的访问权限,防止恶意软件对系统造成破坏。在沙箱环境中,程序只能访问特定的资源,如文件、注册表、网络等,而不能访问其他系统资源。这样,即使恶意软件试图执行有害操作,也会因为权限限制而无法成功。
Mac 开发(一) 苹果沙盒机制sandbox 简介
kyl282889543的博客
06-07 9086
文章目录Mac 开发(一) 苹果沙盒机制sandbox Mac 开发(一) 苹果沙盒机制sandbox
Mac 开发(一) 苹果沙盒机制sandbox简介
rjc_lihui的专栏
12-12 3141
mac沙盒实战demo点击这里下载:【】什么是沙盒?在计算机安全领域,沙盒(英语:sandbox,又译为沙箱)是一种安全机制,为运行中的程序提供的隔离环境。通常是作为一些来源不可信、具破坏力或无法判定程序意图的程序提供实验之用沙盒通常严格控制其中的程序所能访问的资源,比如,沙盒可以提供用后即回收的磁盘及内存空间。在沙盒中,网络访问、对真实系统的访问、对输入设备的读取通常被禁止或是严格限制。从这个角度来说,沙盒属于虚拟化的一种。沙盒中的所有改动对操作系统不会造成任何损失。
Mac OS app, sandbox with command line tool
yuanya的专栏
10-29 1483
I've made an app which includes a command-line tool. I have enabled the app's sandbox, and tested that it works. I've also code-signed both the app and the command line tool. But when I upload the
Mac 10.10下的sandBox目录
mianhuaijiaju的专栏
10-30 677
Mac OS 10.10的环境下用Xcode6开发iOS程序不过我找了半天iOS Simulator的沙盒位置,在以前的版本中都是在诸如 /Users/XZY/Library/Application Support/iPhone Simulator/5.1/Applications/401419FF-7B91-4262-AB68-E3AF695D8310/Library/Preference
Mac OS X Lion 的 Sandbox 技术初探
天行健
02-24 4924
Mac OS X Lion 的 Sandbox 是一项了不起的创新。当然,我不反对有人批评目前的 entitlement 可选项不够完备,还需要扩展。在假设今后可能加入新选项的前提下,现有的概念和实现已是巨大的进步。 操作系统局限于 discretionary access control 和 mandatory access control 两种安全模型已经太久了!后者概念复杂,除了涉
OS的沙盒机制 --基础知识
weixin_30659829的博客
08-07 239
/* iOS的沙盒机制,应用只能访问自己应用目录下的文件。 iOS不像android,没有SD卡概念,不能直接访问图像、视频等内容。iOS应用产生的内容,如图像、文件、缓存内容等都必须存储在自己的沙盒内。默认情况下,每个沙盒含有3个文件夹:Documents, Library 和 tmp。Library包含Caches、Preferences目录。 上面的完整路径为:用户->资源...
ERROR ITMS-90168 MAC OSX 沙盒机制
HiroGuo 的博客
02-04 3120
「上班第一天。祝大家新的一年工作顺利」「摘要:OS X 沙箱机制 从OS X10.6之后引进该机制。在之前的OS X10.9之前没有做强制的要求。但是在OS X10.9 之后,提交到MAC APPStore的应用,必须遵守并且支持沙箱协议。沙箱对访问系统的资源做啦充分的限定说明。」沙箱机制是什么苹果引入沙箱机制后,要求上线到APP Store的MAC应用必须支持遵守沙箱机制。沙箱对应用访问的系统资源
apple sandbox
02-04
苹果沙盒机制的基本原理,简单介绍相关安全机制
mac osx nswindow 高斯模糊底色
09-13
总结来说,实现"Mac osx app 开发高斯模糊底色"主要依赖于`NSWindow`和`NSVisualEffectView`。通过熟练掌握这两个工具,开发者可以轻松地为Mac应用增添专业的视觉效果,提升用户体验。在提供的`Demo`项目中,你将...
MAC OSX串口调试助手
01-10
兼容USB转串口,跟win串口调试助手一样,收发显示:文本和16进制数据。使用步骤 设置--刷新串口--选中串口--打开连接,就可以接收数据了。发送数据选择发送菜单
MAC OSX 教程
03-25
iOS 沙盒机制
weixin_33674976的博客
04-29 494
iOS 每个 APP 都有自己的存储空间,这个存储空间叫做沙盒. APP可以在自己的沙盒中进行数据存取操作,但不能访问其他 app 的沙盒空间.对 app 做一些数据存储或者文件缓存时,一般都保存在沙盒中. 沙盒机制简介 目录结构 沙盒机制根据访问权限和功能区别分为不同的目录: document,library,temp,.app, library又包含 caches 和preferences....
macOS 中的 Rootless 机制
weixin_34408717的博客
11-15 90
2019独角兽企业重金招聘Python工程师标准>>> ...
解决flutter desktop 网络请求失败
阿福的专栏
05-15 1226
使用了dio,模拟器和web都没问题,只有desktop不能调接口 需要在macos/Runner/DebugProfile.entitlements文件中添加com.apple.security.network.client。 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyLis
macOS Sandboxed app 多个程序共享 存入 Group preference的bookmark失败
VictorZhang
02-15 206
Share security scoped bookmark in app group
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值