Mac 开发(二) 苹果沙盒机制sandbox 苹果官方文档详解

最新推荐文章于 2023-12-20 10:34:55 发布
最新推荐文章于 2023-12-20 10:34:55 发布
阅读量2k 收藏 1
点赞数
分类专栏: Mac开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kyl282889543/article/details/106603678
版权

文章目录

Mac 开发(二) 苹果沙盒机制sandbox 苹果官方文档详解

1. app 沙盒 checklist

如果你已经按照本书的指导方针采用了应用沙箱,你应该准备好通过Mac应用商店或直接向用户分发你的应用。但在此之前,每次发布应用程序的新更新时,使用这个检查表来验证应用程序是否遵循了最佳实践。

  • 确保你的应用程序使用了它的权利文件中的每一个权利。如果你的应用程序不需要授权,把它从授权文件中删除。
  • 确保你的应用包中包含的所有Mach-O可执行文件都启用了沙箱。每个Mach-O可执行文件都必须有一个授权文件,并请求com.apple.security.app-sandbox entitlement.权限。这包括XPC服务和请求com.apple.security.inherit的权限。他们还必须申请 com.apple.security.app-sandbox 权限。

清单5-1在可执行的Mach-O二进制文件上运行file命令。

$ file /Applications/Safari.app/Contents/MacOS/Safari
/Applications/Safari.app/Contents/MacOS/Safari: Mach-O universal binary with 2 architectures
/Applications/Safari.app/Contents/MacOS/Safari (for architecture i386): Mach-O executable i386
/Applications/Safari.app/Contents/MacOS/Safari (for architecture x86_64): Mach-O 64-bit executable x86_64

清单5-2在不可执行的Mach-O二进制文件上运行file命令。

$ file /System/Library/Frameworks/Foundation.framework/Versions/C/Foundation
/System/Library/Frameworks/Foundation.framework/Versions/C/Foundation: Mach-O universal binary with 2 architectures
/System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (for architecture x86_64): Mach-O 64-bit dynamically linked shared library x86_64
/System/Library/Frameworks/Foundation.framework/Versions/C/Foundation (for architecture i386): Mach-O dynamically linked shared library i386

您可以使用以下命令查找已编译的应用程序包中的所有Mach-O可执行文件。

find -H YourAppBundle -print0 | xargs -0 file | grep "Mach-O .*executable"
  • 确保授权中指定的每个文件系统路径都以'/'开头。这包括绝对路径和相对于当前用户主目录的路径。另外,请确保“~”字符不会出现在与用户主目录相关的路径中。
  • 确保你的应用程序不是为了让它跳过打开或保存对话框来为用户读取或写入文件而请求文件访问异常。例如,对DesktopDocuments文件夹的访问必须始终由用户发起。不要为这些位置请求异常。
  • 确保你的应用程序不是为了允许它访问另一个应用程序的数据或系统的数据而请求文件访问异常。沙箱应用程序不能依赖于对它们没有创建或没有被显式访问的文件的读或写访问。
  • 确保你的应用程序没有为它已经可以访问的位置请求文件访问异常。每个沙箱应用程序都被隐式地授予访问其自身容器之外系统上的各种目录的权限。这些目录包含所有应用程序操作的通用文件,例如/bin/System/Library/Frameworks。请求这些位置的异常是多余的。在请求异常之前,您应该能够演示一个用例,如果不存在异常,该用例将会遇到沙盒冲突。
  • 如果你的应用程序请求com.apple.security.temporary-exception.apple-events权限或com.apple.security.temporary-exception.mach-lookup.global-name权限,确保您为权利的值提供了字符串数组,这在权限键引用中有详细说明。在为这些权利指定值时要具体。没有一个值可以允许你的应用访问用户系统上安装的每个应用。
  • 如果手动编辑权限文件,而不是使用Xcode中的属性列表编辑器,请确保没有引入任何语法错误。授权文件必须包含有效的属性列表结构。可以使用plutil命令检查授权文件中的语法错误。一个常见的错误是在指定布尔值时输入YES/NO,而不是语法正确的true/false。

清单5-3在有语法错误的权利文件上运行plutil命令。

$ plutil Invalid-Entitlements.plist
Invalid-Entitlements.plist: Encountered unknown tag YES on line 6

清单5-4在语法正确的授权文件上运行plutil命令。

$ plutil Valid-Entitlements.plist
Valid-Entitlements.plist: OK

2. App沙盒快速搭建

在这个快速启动的过程中,您将获得一个macOS应用程序并在沙箱中运行。您验证应用程序确实是沙箱的,然后学习如何排除故障并解决一个典型的应用沙箱错误。你使用的应用程序是Xcode,活动监视器,终端和控制台。

2.1 创建Xcode工程

2.2 确保APP沙盒化

2.3 解决App沙盒冲突

极客雨露
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简单掌握iOS应用开发sandbox沙盒的使用
01-20
一、iOS沙盒机制 iOS的应用只能访问为该应用创建的区域,不可访问其他区域,应用的其他非代码文件都存在此目录下,包括图片,属性文件plist,bundle,nib文件等,这块区域称之为沙盒sandBox)。 每个应用都有属于自己的存储空间,即沙盒。 应用只能访问自己的沙盒,不可访问其他区域。 如果应用需要进行文件操作,则必须将文件存放在沙盒中,尤其是数据库文件,在电脑上操作时,可以去访问,但是如果要装在真机上可以使用,必须将数据库文件拷贝至沙盒中。 、打开沙盒路径 1、如果不知道沙盒路径,可以在自己的应用中打印其路径。 代码如下: NSLog(@”沙盒路径:%@”,NSHomeDire
electron使用electron-builder进行MacOS的 打包、签名、公证、上架、自动更新
最新发布
wuyeyixi的专栏
12-22 4093
由于electron在macOS下的坑太多,本文不可能把所有的问题都列出来,也不可能把所有的解决方案贴出来;本文也不太会讲解每一个配置点为什么要这么设置的原因,因为有些点我也说不清,我尽可能会说明的。所以,你要抛弃你之前所有已经完成的东西,最好弄一个全新的系统,严格按照本文的步骤做。建议用vmware虚拟机,装一个全新的macOS系统。配合vmware的拍照功能,如果中途出错,可以回退到虚拟机的上一个正常状态,非常方便。我也是在这篇文章以及网友的在助下才走通这个流程的,你可以参考一下。
构建 Mac App Store 应用之必备知识
奇舞周刊
12-20 169
本文作者系360奇舞团前端开发工程师引言在日常工作中,Mac 电脑上安装的应用主要来自两个渠道:一是通过 App Store 下载,由苹果审核团队保证内容、技术、隐私的合规性;是从网站下载应用,以 pkg、dmg 格式提供,由安装者自行决定是否信任。这两种渠道下的应用可能在权限、操作方式、数据安全等方面都存在差异,而苹果的技术文档庞杂并且同时面向这两种情况,导致作为开发者,在开发需要上架 App...
macOS 开发 - entitlements 及使用 Security 判断授权
伊织看世界
04-07 2161
文章目录简述核心代码 SecRequirementCreateWithStringAndErrors调用方法 简述 在 xcode 中 Capabilities 部分勾选内容(不只是沙盒),就会自动生成 projectname.entitlements 文件。 这个文件是一个 plist 类型文件, 其中的键对应的是 Capabilities 中勾选的内容。这里的键可以复制出来,作为下面程序判断...
举例详解iOS开发过程中的沙盒机制与文件
09-03
主要介绍了举例详解iOS开发过程中的沙盒机制与文件,示例代码为传统的Obejective-C,需要的朋友可以参考下
Mac 开发(一) 苹果沙盒机制sandbox简介
rjc_lihui的专栏
12-12 2851
mac沙盒实战demo点击这里下载:【】什么是沙盒?在计算机安全领域,沙盒(英语:sandbox,又译为沙箱)是一种安全机制,为运行中的程序提供的隔离环境。通常是作为一些来源不可信、具破坏力或无法判定程序意图的程序提供实验之用沙盒通常严格控制其中的程序所能访问的资源,比如,沙盒可以提供用后即回收的磁盘及内存空间。在沙盒中,网络访问、对真实系统的访问、对输入设备的读取通常被禁止或是严格限制。从这个角度来说,沙盒属于虚拟化的一种。沙盒中的所有改动对操作系统不会造成任何损失。
IOS Profile doesn‘t include the com.apple.application-identifier entitlement.
fcj863121318的博客
07-15 937
出现这个问题的原因是XCode11.5版本或11.6版本自身的原因. 解决办法是去安装XCode12任意版本, 下面是官网的下载地址: https://developer.apple.com/cn/xcode/resources/ 你可以先在XCode11.5中ios程序,然后在去XCode12中打开项目,进行真机部署和上传 ...
Mac开发(2)沙盒苹果官方文档
kyl282889543的博客
06-30 1644
文章目录Mac开发(2)沙盒苹果官方文档1. 关于苹果权限文件Entitlements1.1 启用iCloud在设备之间共享数据1.2 启用推送通知来提醒用户1.3 启用Apple Pay和通行证1.4 启用应用沙箱,以尽量减少恶意代码的损害1.5 如果需要,使用应用沙箱临时异常 Mac开发(2)沙盒苹果官方文档 1. 关于苹果权限文件Entitlements 授权赋予iOS或macOS应用特定的功能或安全权限。 设置权利值,以便启用iCloud、推送通知、Apple Pay和应用沙箱。每个授权都有一个默认
iOS日志打印存贮到txt文件及沙盒文件操作
qq_32117417的博客
01-10 952
在我们开发中过程中有时候会有这样的场景,需要脱离连线调试代码,但是又看不见控制台的Log,所以将Log存到文本中,调试过程全部记录下来,随时可以看。 存贮: class func logWithTag(_ tag:String){ if logMode { print(tag) //将数据写入log中, ...
macOS - Cocoa开发沙盒机制及访问Sandbox之外的文件
VictorZhang
02-26 2125
原文地址:http://www.skyfox.org/cocoa-macos-sandbox.html iOS默认并且只能读写对应的沙盒目录。 OSX自从10.6系统开始引入沙盒机制,规定发布到Mac AppStore的应用,必须遵守沙盒约定。沙盒对应用访问的系统资源,硬件外设,文件,网络,XPC,都做了严格的限制,这样能防止恶意的App通过系统漏洞,攻击系统,获取控制权限,保证了OSX系统的安全。沙盒相当于给每个App一个独立的空间。要获取自己空间之外的资源必须获得授权。 macOS APP不需要上.
IOS学习之IOS沙盒(sandbox)机制和文件操作
03-02
IOS应用程序只能在为该改程序创建的文件系统中读取文件,不可以去其它地方访问,此区域被成为沙盒,所以所有的非代码文件都要保存在此,例如图像,图标,声音,映像,属性列表,文本文件等。通过这张图只能从表层上理解sandbox是一种安全体系,应用程序的所有操作都要通过这个体系来执行,其中核心内容是:sandbox对应用程序执行各种操作的权限限制。下面看看模拟器的沙盒文件夹在mac电脑上的什么位置。文件都在个人用户名文件夹下的一个隐藏文件夹里,中文叫资源库,他的目录其实是Library。可以设置显示隐藏文件,然后在Finder下直接打开。设置查看隐藏文件的方法如下:打开终端,输入命名显示Mac隐藏文件
macos 提交到iTunes connect错误解决方案
大话程序员
09-14 3457
没 没有配置category 很多人一发现这个错误,直接埋头就去看api文档, Launch Services Keys 包括我自己 其实这是最傻的 自问看英文不慢,但是我看了一天,没看出怎么解决 一堆uti, key, ls前缀等等,查字典能不查晕你么? 最后踩了一天坑后发现超简单 只要在info.plist加上一个category string 怎么加?等你去查
MAC OSX 沙盒机制
热门推荐
huang_123_456的专栏
01-28 1万+
OSX 沙盒机制 OSX自从10.6系统开始引入沙盒机制,规定发布到Mac AppStore的应用,必须遵守沙盒约定。沙盒对应用访问的系统资源,硬件外设,文件,网络,XPC,都做了严格的限制,这样能防止恶意的App通过系统漏洞,攻击系统,获取控制权限,保证了OSX系统的安全。 沙盒相当于给每个App一个独立的空间,你只能在自己的小天地里面玩。要获取自己空间之外的资源必须获得授权。
开发提交审核流程_Mac App Store拒绝部分使用Electron开发的应用
weixin_39525097的博客
01-12 433
近日一名开发者在博客分享了自己提交应用(基于Electron 7开发App)到 Mac App Store 的经历。Electron 是一个跨平台桌面应用开发工具,支持使用 JavaScript, HTML 和 CSS 等 Web 技术开发桌面应用。知名开源项目诸如 GitHub 打造的 Atom 编辑器和微软打造的 Visual Studio Code 编辑器均使用 Elect...
Swift -- 保存打印日志到沙盒
~玉麒麟~
06-20 841
最近项目测试的时候经常遇到卡死的问题,集成的bug收集器又收集不到问题所在,导致没有办法定位问题,就自己写个打印日志收集的方法,将之保存在沙盒里面,以便测试人员发现卡死的时候,我们能根据打印的日志定位问题所在,代码如下: 调用很简单,直接在调用就行:......
Profile doesn‘t include the com.apple.application-identifier entitlement.
carbonzhao的专栏
07-06 1273
上周五,更新了MAC OS 到最新的MAC 10.11 即Mac Os Big Sur,同时更新xcode到11.5 如下: 之前发布内测iPA时没有任何问题,结果现在坑赤坑赤的报错。。 Profile doesn't include the com.apple.application-identifier entitlement. 心想,这苹果又在搞什么鬼,没办法,翻墙,各种搜索,结果摸索,国外的解决方案如下: 啥意思呢,就是在项目的Target->signing ..
QT Mac app签名及公证
shada的专栏
01-26 1891
这里示范的是Qt程序的部署、签名及公证。 1.首先用macdeployqt xxx.app部署,不要加-dmg参数,如果出现第三方库依赖问题,百度查找解决办法,第三方库编译为静态库能少很多事,依赖的其它资源也放进去,比如我这边有个webui目录用来放html资源。 2.代码签名
解决flutter desktop 网络请求失败
阿福的专栏
05-15 1141
使用了dio,模拟器和web都没问题,只有desktop不能调接口 需要在macos/Runner/DebugProfile.entitlements文件中添加com.apple.security.network.client。 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyLis
Sandboxed Mac App 中嵌入第三方可执行文件
qtcreatorlinux的专栏
09-17 1895
之前开源了 一个 gitstats 的 GUI 应用 GitStatX,在提交到 GitHub (GitStatX) 之后,又准备提交到 Mac App Store。 在提交到 Mac App Store 之后,出现了一些问题,程序中包含的第三方可执行文件没有签名,导致苹果拒绝了提交的程序包: App sandbox not enabled – The following exec
windows沙盒sandbox无法启动0x800706d9
08-27
你遇到了一个常见的问题,错误代码 0x800706d9 表示 Windows 沙盒sandbox)无法启动。这个问题通常是由于防火墙设置引起的。请尝试以下解决方法: 1. 确保防火墙允许 Windows 沙盒运行。你可以按照以下步骤进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值