【.net 深呼吸】限制执行代码的权限
前面好几篇文章,老周都跟大伙伴们聊了跟应用程序域有关的话题,干脆咱们一聊到底吧,做学问就应该这样,有恒心。
App Domain的创建新应用程序域的方法中,有一个特殊的重载:
public static AppDomain CreateDomain(string friendlyName, Evidence securityInfo, AppDomainSetup info, PermissionSet grantSet, params StrongName[] fullTrustAssemblies);
这个重载比较特殊,它与咱们今天扯的话题接近,因为它的参数列表中有一个是 PermissionSet 类型的,它表示一个权限的集合,当创建应用程序域时,通过这个权限集合,限制在新应用程序域中执行的代码的权限。在各个CreateDomain方法的重载中,只有这个有设置权限集的参数。
运用这个重载方法,可以将你觉得要限制权限的代码放到这个新的应用程序域中执行,即创建一个“沙箱”。比如,你拿到别人写的一个类库A,不过你不知道这个类库A在执行过程中会干什么,于是,你希望在使用这个来路不明的类库时,可以限制一下它,例如不让它读写文件,或者说只允许它访问某些目录和文件。
为了偷工减料,写出豆腐渣程序,老周举的这个例子,是把做测试用的代码写到主程序集中。它有一个类,类中有一个方法,调用之后,会在“文档”库中创建一个文件,然后写入一些见不得人的内容。
public class Demo : MarshalByRefObject { public void WirteFile() { string myDoc = Environment.GetFolderPath(Environment.SpecialFolder.MyDocuments); string filePath = Path.Combine(myDoc, Guid.NewGuid() + ".txt"); using (FileStream fs = File.Open(filePath, FileMode.OpenOrCreate, FileAccess.Write, FileShare.Read)) { byte[] data = Encoding.UTF8.GetBytes("卖假药啦。"); fs.Write(data, 0, data.Length); } } }
然后,创建一个新的应用程序域,再在新域里面执行刚刚写好的类。之所以继承MarshalByRefObject类,是希望可以跨应用程序域调用,并且是按引用传递。
调用如下:
// 添加程序集凭据 // 此处是为了装逼,才写以下几行 // 其实你可以直接用 AppDomain.CurrentDomain.Evidence Evidence evd = new Evidence(); Assembly currAss = Assembly.GetExecutingAssembly(); Hash hsevd = new Hash(currAss); evd.AddAssemblyEvidence<Hash>(hsevd); // 准备相关信息 AppDomainSetup setup = new AppDomainSetup(); setup.ApplicationBase = AppDomain.CurrentDomain.SetupInformation.ApplicationBase; // 准备权限 PermissionSet ps = new PermissionSet(PermissionState.None); // Execution 权限必须,不然连代码都不能执行了 SecurityPermission secps = new SecurityPermission(SecurityPermissionFlag.Execution); ps.AddPermission(secps); // 创建新域 AppDomain newAppdm = AppDomain.CreateDomain("good", evd, setup, ps); // 创建测试对象实例 Demo d = (Demo)newAppdm.CreateInstanceAndUnwrap(currAss.FullName, $"{nameof(TestApp)}.{nameof(Demo)}"); d.WriteFile(); d = null; AppDomain.Unload(newAppdm);
Evidence这东西比较抽象,你可以理解为程序集用来证明它是合法身份的一些信息,比如这里,我用当前程序集的 Hash 值来做为证明,因为这个 Demo 类是写在当前程序集中的(刚刚说了,为了偷工减料)。
注意权限集合是 PermissionSet 类,它是个容器,你可以根据需要,向里面添加权限声明。在上面代码中,我加了一个最基本的安全权限——SecurityPermission,这个你得加,因为它是最最最基本的权限,如果不加,连代码都执行不了,那就等于这段代码是废的,用 SecurityPermissionFlag 枚举来描述代码应具有的基础权限,这些值可以组合使用,Execution表示允许执行代码,如果你连这个权限也不给,干脆把 Demo 类开除算了。
顺便说一下,在new出PermissionSet 实例时,构造函数会要求一个 PermissionState值,你应该把它设置为 None,这样权限才会对代码进行限制,如果用了Unrestricted ,表示不做限制。
调用 CreateInstanceAndUnwrap 方法时,是在新的应用程序域中创建 Demo 实例,但可以通过引用,把实例封送到当前应用程序域中,这样可以跨域调用,实际上 WriteFile 方法是在新的应用程序域中执行的。
如果你要允许代码访问文件和目录,你必须加上FileIOPermission权限,但这里我没加,看看运行后会如何。
因为我不给它权限,所以它没办法写入文件了。
现在我们来改一下代码,在创建应用程序域前,向权限集合添加 FileIOPermission 权限。
string docPath = Environment.GetFolderPath(Environment.SpecialFolder.MyDocuments); FileIOPermission fps = new FileIOPermission(FileIOPermissionAccess.AllAccess, docPath); ps.AddPermission(fps);
再执行一下,如果执行成功,会发现“文档”库里面多了一个文件。
好了,今天就扯到这里了。