Безопасное выполнение Nashorn JS

Как я могу безопасно выполнить какой-то пользовательский JS-код с помощью Java8 Nashorn?

script расширяет некоторые вычисления для некоторых отчетов на основе сервлетов. В приложении много разных (ненадежных) пользователей. Сценарии должны иметь доступ только к объекту Java и к тем, которые возвращаются определенными членами. По умолчанию скрипты могут создавать экземпляр любого класса, используя Class.forName() (используя .getClass() моего поставленного объекта). Есть ли способ запретить доступ к любому классу java, явно не указанному мной?

Ответ 1

I задал этот вопрос в списке рассылки Nashorn:

Есть ли какие-либо рекомендации по наилучшему способу ограничить классы, которые скрипты Nashorn могут создать в белый список? Или подход такой же, как любой движок JSR223 (пользовательский загрузчик классов в конструкторе ScriptEngineManager)?

И получил этот ответ от одного из разработчиков Nashorn:

Привет,

Nashorn уже фильтрует классы - только общедоступные классы нечувствительных пакетов (пакеты, перечисленные в security.access security свойство aka 'sensitive'). Проверка доступа к пакетам осуществляется с контекст без разрешений. то есть любой пакет, к которому можно получить доступ из класса без полномочий разрешены.

Nashorn фильтрует Java-отражающий и jsr292-доступ - если script не имеет RuntimePermission ( "nashorn.JavaReflection" ), script не будет способный отражать.

Вышеупомянутые два требуют запуска с включенным SecurityManager. Не имея никакого менеджера безопасности, вышеуказанная фильтрация не будет применяться.

Вы можете удалить глобальную функцию Java.type и объект Packages (+ com, edu, java, javafx, javax, org, JavaImporter) в глобальной области действия и/или замените их любыми функциями фильтрации, которые вы реализуете. Поскольку они являются единственными входными точками доступа Java из script, настройка этих функций = > фильтрация доступа Java из сценариев.

Существует недокументированная опция (теперь используется только для запуска тестов test262) "--no-java" оболочки nashorn, которая делает это выше для вас. т.е. Nashorn не будет инициализировать Java-перехватчики в глобальной области.

JSR223 не предоставляет никаких оснований на основе стандартов для передачи пользовательского загрузчика классов. Это, возможно, придется решать в (возможном) будущем обновление jsr223.
Надеюсь, что это поможет,

-Sundar

Ответ 2

Добавленный в 1.8u40, вы можете использовать ClassFilter, чтобы ограничить классы, которые может использовать движок.

Вот пример из документации Oracle:

import javax.script.ScriptEngine;
import jdk.nashorn.api.scripting.ClassFilter;
import jdk.nashorn.api.scripting.NashornScriptEngineFactory;

public class MyClassFilterTest {

  class MyCF implements ClassFilter {
    @Override
    public boolean exposeToScripts(String s) {
      if (s.compareTo("java.io.File") == 0) return false;
      return true;
    }
  }

  public void testClassFilter() {

    final String script =
      "print(java.lang.System.getProperty(\"java.home\"));" +
      "print(\"Create file variable\");" +
      "var File = Java.type(\"java.io.File\");";

    NashornScriptEngineFactory factory = new NashornScriptEngineFactory();

    ScriptEngine engine = factory.getScriptEngine(
      new MyClassFilterTest.MyCF());
    try {
      engine.eval(script);
    } catch (Exception e) {
      System.out.println("Exception caught: " + e.toString());
    }
  }

  public static void main(String[] args) {
    MyClassFilterTest myApp = new MyClassFilterTest();
    myApp.testClassFilter();
  }
}

В этом примере печатается следующее:

C:\Java\jre8
Create file variable
Exception caught: java.lang.RuntimeException: java.lang.ClassNotFoundException:
java.io.File

Ответ 3

Я исследовал способы разрешить пользователям писать простой script в песочнице, которым разрешен доступ к некоторым базовым объектам, предоставленным моим приложением (таким же образом Google Apps Script). Я пришел к выводу, что это легче/лучше документировано с Rhino, чем с Нашорном. Вы можете:

Определите класс-затвор, чтобы избежать доступа к другим классам: http://codeutopia.net/blog/2009/01/02/sandboxing-rhino-in-java/
Ограничьте количество инструкций, чтобы избежать контуров конца с помощью функции наблюдения: http://www-archive.mozilla.org/rhino/apidocs/org/mozilla/javascript/ContextFactory.html

Однако следует предупредить, что с ненадежными пользователями этого недостаточно, поскольку они могут (случайно или по назначению) выделять объем памяти hugh, заставляя вашу JVM выкидывать OutOfMemoryError. Я еще не нашел безопасного решения для этой последней точки.

Ответ 4

Насколько я могу судить, ты не можешь песочницей, Нашорн. Ненадежный пользователь может выполнить "Дополнительные встроенные функции Nashorn", перечисленные здесь:

https://docs.oracle.com/javase/8/docs/technotes/guides/scripting/nashorn/shell.html

которые включают "quit()". Я проверил это; он полностью выходит из JVM.

(Кроме того, в моей настройке глобальные объекты, $ ENV, $ ARG, не работали, что хорошо.)

Если я ошибаюсь, кто-то, пожалуйста, оставьте комментарий.

Ответ 5

Вы можете довольно легко создать ClassFilter который позволяет детально контролировать, какие классы Java доступны в JavaScript.

Следуя примеру из Oracle Nashorn Docs:

class MyCF implements ClassFilter {
    @Override
    public boolean exposeToScripts(String s) {
      if (s.compareTo("java.io.File") == 0) return false;
      return true;
    }
}

Сегодня я поместил несколько других мер в небольшую библиотеку: Nashorn Sandbox (на GitHub). Наслаждайтесь!

Ответ 6

Лучший способ обезопасить выполнение JS в Nashorn - это включить SecurityManager и позволить Nashorn отрицать критические операции. Кроме того, вы можете создать класс мониторинга, который проверяет время выполнения скрипта и память, чтобы избежать бесконечных циклов и outOfMemory. Если вы запускаете его в ограниченной среде без возможности настройки SecurityManager, вы можете использовать Nashorn ClassFilter, чтобы запретить полный/частичный доступ к классам Java. В дополнение к этому вы должны перезаписать все критические функции JS (например, quit() и т.д.). Посмотрите на эту функцию, которая управляет всеми этими аспектами (кроме управления памятью):

public static Object javascriptSafeEval(HashMap<String, Object> parameters, String algorithm, boolean enableSecurityManager, boolean disableCriticalJSFunctions, boolean disableLoadJSFunctions, boolean defaultDenyJavaClasses, List<String> javaClassesExceptionList, int maxAllowedExecTimeInSeconds) throws Exception {
    System.setProperty("java.net.useSystemProxies", "true");

    Policy originalPolicy = null;
    if(enableSecurityManager) {
        ProtectionDomain currentProtectionDomain = this.getClass().getProtectionDomain();
        originalPolicy = Policy.getPolicy();
        final Policy orinalPolicyFinal = originalPolicy;
        Policy.setPolicy(new Policy() {
            @Override
            public boolean implies(ProtectionDomain domain, Permission permission) {
                if(domain.equals(currentProtectionDomain))
                    return true;
                return orinalPolicyFinal.implies(domain, permission);
            }
        });
    }
    try {
        SecurityManager originalSecurityManager = null;
        if(enableSecurityManager) {
            originalSecurityManager = System.getSecurityManager();
            System.setSecurityManager(new SecurityManager() {
                //allow only the opening of a socket connection (required by the JS function load())
                @Override
                public void checkConnect(String host, int port, Object context) {}
                @Override
                public void checkConnect(String host, int port) {}
            });
        }

        try {
            ScriptEngine engineReflex = null;

            try{
                Class<?> nashornScriptEngineFactoryClass = Class.forName("jdk.nashorn.api.scripting.NashornScriptEngineFactory");
                Class<?> classFilterClass = Class.forName("jdk.nashorn.api.scripting.ClassFilter");

                engineReflex = (ScriptEngine)nashornScriptEngineFactoryClass.getDeclaredMethod("getScriptEngine", new Class[]{Class.forName("jdk.nashorn.api.scripting.ClassFilter")}).invoke(nashornScriptEngineFactoryClass.newInstance(), Proxy.newProxyInstance(classFilterClass.getClassLoader(), new Class[]{classFilterClass}, new InvocationHandler() {
                    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
                        if(method.getName().equals("exposeToScripts")) {
                            if(javaClassesExceptionList != null && javaClassesExceptionList.contains(args[0]))
                                return defaultDenyJavaClasses;
                            return !defaultDenyJavaClasses;
                        }
                        throw new RuntimeException("no method found");
                    }
                }));
                /*
                engine = new jdk.nashorn.api.scripting.NashornScriptEngineFactory().getScriptEngine(new jdk.nashorn.api.scripting.ClassFilter() {
                    @Override
                    public boolean exposeToScripts(String arg0) {
                        ...
                    }
                });
                */
            }catch(Exception ex) {
                throw new Exception("Impossible to initialize the Nashorn Engine: " + ex.getMessage());
            }

            final ScriptEngine engine = engineReflex;

            if(parameters != null)
                for(Entry<String, Object> entry : parameters.entrySet())
                    engine.put(entry.getKey(), entry.getValue());

            if(disableCriticalJSFunctions)
                engine.eval("quit=function(){throw 'quit() not allowed';};exit=function(){throw 'exit() not allowed';};print=function(){throw 'print() not allowed';};echo=function(){throw 'echo() not allowed';};readFully=function(){throw 'readFully() not allowed';};readLine=function(){throw 'readLine() not allowed';};$ARG=null;$ENV=null;$EXEC=null;$OPTIONS=null;$OUT=null;$ERR=null;$EXIT=null;");
            if(disableLoadJSFunctions)
                engine.eval("load=function(){throw 'load() not allowed';};loadWithNewGlobal=function(){throw 'loadWithNewGlobal() not allowed';};");

            //nashorn-polyfill.js
            engine.eval("var global=this;var window=this;var process={env:{}};var console={};console.debug=print;console.log=print;console.warn=print;console.error=print;");

            class ScriptMonitor{
                public Object scriptResult = null;
                private boolean stop = false;
                Object lock = new Object();
                @SuppressWarnings("deprecation")
                public void startAndWait(Thread threadToMonitor, int secondsToWait) {
                    threadToMonitor.start();
                    synchronized (lock) {
                        if(!stop) {
                            try {
                                if(secondsToWait<1)
                                    lock.wait();
                                else
                                    lock.wait(1000*secondsToWait);
                            } catch (InterruptedException e) {
                                throw new RuntimeException(e);
                            }
                        }
                    }
                    if(!stop) {
                        threadToMonitor.interrupt();
                        threadToMonitor.stop();
                        throw new RuntimeException("Javascript forced to termination: Execution time bigger then " + secondsToWait + " seconds");
                    }
                }
                public void stop() {
                    synchronized (lock) {
                        stop = true;
                        lock.notifyAll();
                    }
                }
            }
            final ScriptMonitor scriptMonitor = new ScriptMonitor();

            scriptMonitor.startAndWait(new Thread(new Runnable() {
                @Override
                public void run() {
                    try {
                        scriptMonitor.scriptResult = engine.eval(algorithm);
                    } catch (ScriptException e) {
                        throw new RuntimeException(e);
                    } finally {
                        scriptMonitor.stop();
                    }
                }
            }), maxAllowedExecTimeInSeconds);

            Object ret = scriptMonitor.scriptResult;
            return ret;
        } finally {
            if(enableSecurityManager)
                System.setSecurityManager(originalSecurityManager);
        }
    } finally {
        if(enableSecurityManager)
            Policy.setPolicy(originalPolicy);
    }
}

В настоящее время функция использует устаревший поток остановки(). Улучшение может быть выполнено JS не в потоке, а в отдельном процессе.

PS: здесь Nashorn загружается с помощью рефлексии, но эквивалентный код Java также предоставляется в комментариях

Ответ 7

Я бы сказал, что переопределение поставляемого класса classloader - самый простой способ контролировать доступ к классам.

(Отказ от ответственности: я не очень хорошо знаком с более новой Java, поэтому этот ответ может быть устаревшим или старым)

Ответ 8

Внешнюю библиотеку песочницы можно использовать, если вы не хотите реализовывать свой собственный ClassLoader и SecurityManager (это единственный способ песочницы сейчас).

Я пробовал "Песочницу Java" (http://blog.datenwerke.net/p/the-java-sandbox.html), хотя он немного груб по краям, но он работает.

Ответ 9

Без использования Security Manager невозможно безопасно выполнить JavaScript на Nashorn.

Во всех выпусках Oracle Hotspot, включающих Nashorn, можно написать JavaScript, который будет выполнять любой код Java/JavaScript на этой JVM. С января 2019 года Oracle Security Team настаивает на том, что использование Security Manager является обязательным.

Одна из проблем уже обсуждалась в https://github.com/javadelight/delight-nashorn-sandbox/issues/73