我们发现,供应商提供的 Java 程序旨在通过 HTTP(S) 提供文件服务(响应GET
请求) ,但还愉快地接受POST
请求,创建新文件并覆盖现有文件。
当供应商拖延修复错误时,也许我们可以阻止程序打开新文件?无论如何,它只会记录到 stdout,没有任何写入任何内容的合法需要。
它仍然需要能够打开和写入网络套接字 - 并接受连接 - 以及读取文件,但不能打开文件进行写入。
出于操作原因,为其提供自定义安全策略文件可能比将其目录设为只读更容易。我们可以制作这样的策略文件吗?
如果这很重要,我们将需要针对 Java-7、Java-8 和 Java-11 的解决方案。