面试题答案
一键面试不同类型类加载器协同保证安全
- 启动类加载器(Bootstrap ClassLoader)
- 加载范围:负责加载Java核心类库,如
rt.jar中的类,这些类是Java运行时环境的基础,像java.lang.Object等关键类。 - 安全作用:由于它加载的是核心类,这些类经过了严格的安全审查和测试,保证了Java运行时核心功能的安全性和稳定性。并且启动类加载器是由C++实现,处于Java安全沙箱的最底层,外部代码无法直接访问和修改其加载机制,从而防止恶意代码对核心类库的篡改。
- 加载范围:负责加载Java核心类库,如
- 扩展类加载器(Extension ClassLoader)
- 加载范围:加载
jre/lib/ext目录下的类库,这些类库是对Java核心类库的扩展,提供了一些额外的功能,如支持JNLP(Java Network Launching Protocol)等。 - 安全作用:它的加载路径是固定且受保护的,限制了可加载类的来源,避免了恶意类通过扩展机制混入系统。同时,它是由Java代码实现,但其父加载器是启动类加载器,继承了启动类加载器的安全特性,在加载扩展类时,会先委托给启动类加载器,确保核心类优先加载且不被覆盖。
- 加载范围:加载
- 应用程序类加载器(Application ClassLoader)
- 加载范围:负责加载应用程序的类路径(
classpath)下的类,这是我们编写的应用程序代码以及应用所依赖的第三方库的主要加载区域。 - 安全作用:它遵循双亲委派模型,在加载类时,首先将加载请求委托给父类加载器(扩展类加载器),只有父类加载器无法加载时才尝试自己加载。这种机制防止了恶意类伪装成核心类或扩展类被加载,因为核心类和扩展类已经由启动类加载器和扩展类加载器加载,应用程序类加载器无法覆盖它们。
- 加载范围:负责加载应用程序的类路径(
自定义类加载器需注意的安全问题
- 遵循双亲委派模型
- 原因:如果不遵循双亲委派模型,恶意代码可能会绕过父类加载器直接加载自定义的类,例如伪装成核心类,从而破坏Java安全沙箱。例如,自定义类加载器直接加载一个名为
java.lang.Object的恶意类,就会导致系统混乱,因为正常情况下java.lang.Object应该由启动类加载器加载。 - 做法:在自定义类加载器的
loadClass方法中,按照双亲委派模型的规则,先调用父类加载器的loadClass方法尝试加载类,如果父类加载器无法加载,再自己加载。
- 原因:如果不遵循双亲委派模型,恶意代码可能会绕过父类加载器直接加载自定义的类,例如伪装成核心类,从而破坏Java安全沙箱。例如,自定义类加载器直接加载一个名为
- 类来源验证
- 原因:确保加载的类来自可信的来源,防止加载恶意代码。例如,从不可信的网络地址下载类并加载可能会引入病毒、木马等恶意程序。
- 做法:可以对类的来源进行校验,如检查类文件的数字签名。对于从网络下载的类,可以验证其下载地址的合法性,确保类文件是从官方或可信的服务器获取。
- 防止类污染
- 原因:避免自定义类加载器加载的类与已有的类产生冲突,尤其是核心类和扩展类。例如,自定义类加载器加载了一个与核心类同名但功能不同的类,可能会导致程序行为异常。
- 做法:在加载类时,对类名进行严格检查,避免与核心类和扩展类的命名空间冲突。同时,可以使用唯一的命名空间或标识符来隔离自定义类加载器加载的类。
- 权限控制
- 原因:不同的类可能需要不同的权限,自定义类加载器加载的类也不例外。如果没有正确的权限控制,恶意类可能会获取过高的权限,执行敏感操作,如访问系统文件、网络端口等。
- 做法:可以结合Java的安全管理器(SecurityManager),为自定义类加载器加载的类分配适当的权限。在类加载过程中,根据类的来源、功能等因素,确定其应有的权限,并在运行时通过安全管理器进行权限检查。