Пошаговое руководство. Выпуск кода в сценариях частичного доверия
При порождении отражения для полного или частичного доверия используется одинаковый набор интерфейсов API, но для некоторых функциональных возможностей требуются особые разрешения в коде с частичным доверием. Кроме того, в порождении отражения имеется функциональная возможность, анонимно размещенные динамические методы, которые предназначены для использования при частичном доверии и в прозрачных с точки зрения безопасности сборках.
Примечание
В версиях, предшествовавших .NET Framework 3.5, для порождения кода требовалось разрешение ReflectionPermission с флагом ReflectionPermissionFlag.ReflectionEmit. Это разрешение включено по умолчанию в именованные наборы разрешений FullTrust и Intranet, но отсутствует в наборе разрешений Internet. Поэтому библиотека может использоваться при частичном доверии, только если у нее был атрибут SecurityCriticalAttribute и она выполнила метод Assert для ReflectionEmit. Такие библиотеки требуют тщательной проверки безопасности, так как ошибки в коде могут стать причиной уязвимости. Платформа .NET Framework 3.5 позволяет создавать код в сценариях частичного доверия без предъявления каких-либо требований к безопасности, так как создание кода по сути не является привилегированной операцией. То есть созданный код имеет не больше разрешений, чем породившая его сборка. Это позволяет библиотекам порождать код, прозрачный с точки зрения безопасности, и устраняет необходимость в подтверждении ReflectionEmit, что упрощает задачу написания безопасной библиотеки, так как тщательная проверка безопасности не нужна.
В данном пошаговом руководстве рассмотрены следующие задачи:
Настройка простой песочницы для проверки кода с частичным доверием.
Важно!
Это простой способ поэкспериментировать с кодом с частичным доверием. Сведения о выполнении кода, поступившего из ненадежных расположений, см. в разделе Практическое руководство. Выполнение не вполне безопасного кода в изолированной среде.
Дополнительные сведения о порождении кода в сценариях с частичным доверием см. в разделе Вопросы безопасности в порождаемом отражении.
Полный код, показанный в данных процедурах, см. в разделе Пример в конце этого руководства.
Настройка расположений с частичным доверием
В следующих двух процедурах показано, как настроить расположения, из которых можно протестировать код с частичным доверием.
В первой процедуре показано, как создать домен изолированного приложения, в котором код выполняется с интернет-доверием.
Во второй процедуре показано, как добавить ReflectionPermission с флагом ReflectionPermissionFlag.RestrictedMemberAccess в домен приложения с частичным доверием для разрешения доступа к конфиденциальным данным в сборках с тем же или меньшим доверием.
Создание доменов изолированных приложений
Чтобы создать домен приложения, в котором сборки будут выполняться при частичном доверии, необходимо указать набор разрешений, которые должны быть предоставлены сборкам, используя перегрузку метода AppDomain.CreateDomain(String, Evidence, AppDomainSetup, PermissionSet, StrongName[]) для создания домена приложения. Самым простым способом указания набора разрешений является получение именованного набора разрешений из политики безопасности.
В следующей процедуре создается домен изолированного приложения, в котором код будет выполняться при частичном доверии, для проверки сценариев, в которых порожденный код имеет доступ только к открытым членам открытых типов. В следующей процедуре показано, как добавить RestrictedMemberAccess для проверки сценариев, в которых порожденный код имеет доступ к закрытым типам и членам в сборках, которым предоставлены равнозначные или меньшие разрешения.
Создание домена приложения с частичным доверием
Создайте набор разрешений, которые следует предоставить сборкам в домене изолированного приложения. В этом случае используется набор разрешений зоны Интернета.
Evidence ev = new Evidence(); ev.AddHostEvidence(new Zone(SecurityZone.Internet)); PermissionSet pset = new NamedPermissionSet("Internet", SecurityManager.GetStandardSandbox(ev));Dim ev As New Evidence() ev.AddHostEvidence(new Zone(SecurityZone.Internet)) Dim pset As New NamedPermissionSet("Internet", SecurityManager.GetStandardSandbox(ev))Создайте объект AppDomainSetup для инициализации домена приложения с помощью пути к приложению.
Важно!
Для простоты в этом примере кода используется текущая папка. Для выполнения кода, поступившего из Интернета, используйте отдельную папку для ненадежного кода, как описано в разделе Практическое руководство. Выполнение не вполне безопасного кода в изолированной среде.
AppDomainSetup adSetup = new AppDomainSetup(); adSetup.ApplicationBase = ".";Dim adSetup As New AppDomainSetup() adSetup.ApplicationBase = "."Создайте домен приложения, указав сведения о настройке домена приложения и набор правил для всех сборок, выполняющихся в домене приложения.
AppDomain ad = AppDomain.CreateDomain("Sandbox", ev, adSetup, pset, null);Dim ad As AppDomain = AppDomain.CreateDomain("Sandbox", ev, adSetup, pset, Nothing)С помощью последнего параметра перегрузки метода AppDomain.CreateDomain(String, Evidence, AppDomainSetup, PermissionSet, StrongName[]) можно указать набор сборок, которым будет предоставлено полное доверие, вместо набора правил для домена приложения. Вам не нужно указывать сборки .NET Framework, используемые приложением, так как они находятся в глобальном кэше сборок. Сборки, находящиеся в глобальном кэше сборок, всегда имеют полное доверие. Этот параметр можно использовать для указания сборок со строгими именами, которые не находятся в глобальном кэше сборок.
Добавление RestrictedMemberAccess к изолированным доменам
Ведущие приложения могут разрешать доступ анонимно размещенных динамических методов к конфиденциальным данным в сборках, уровень доверия которых не превышает уровень доверия сборки, порождающей код. Чтобы разрешить эту ограниченную возможность пропуска проверок видимости, выполняемых JIT-компилятором, ведущее приложение добавляет объект ReflectionPermission с флагом ReflectionPermissionFlag.RestrictedMemberAccess (RMA) в набор правил.
Например, ведущее приложение может предоставить интернет-приложениям интернет-разрешения и RMA, так что интернет-приложение может породить код, который обращается к конфиденциальным данным в собственных сборках. Так как доступ ограничен сборками с таким же или меньшим доверием, веб-приложение не может обращаться к членам полностью доверенных сборок, например сборок .NET Framework.
Примечание
Чтобы предотвратить повышение привилегий, при создании анонимно размещенных динамических методов включаются также сведения стека для порождающей сборки. При вызове метода проверяются сведения стека. Поэтому вызванный из полностью доверенного кода анонимно размещенный динамический метод все так же ограничен уровнем доверия порождающей сборки.
Создание домена приложения с частичным доверием и RMA
Создайте объект ReflectionPermission с флагом RestrictedMemberAccess (RMA) и используйте метод PermissionSet.SetPermission для добавления разрешения в набор правил.
pset.SetPermission( new ReflectionPermission( ReflectionPermissionFlag.RestrictedMemberAccess));pset.SetPermission( _ New ReflectionPermission( _ ReflectionPermissionFlag.RestrictedMemberAccess))Метод AddPermission добавляет это разрешение в набор правил, если его там еще нет. Если разрешение уже включено в набор правил, указанные флаги добавляются к существующим разрешениям.
Примечание
RMA — это функциональная возможность анонимно размещенных динамических методов. Если обычные динамические методы пропускают проверки видимости, выполняемые JIT-компилятором, порождаемый код требует полного доверия.
Создайте домен приложения, указав сведения о настройке домена приложения и набор правил.
ad = AppDomain.CreateDomain("Sandbox2", ev, adSetup, pset, null);ad = AppDomain.CreateDomain("Sandbox2", ev, adSetup, pset, Nothing)
Выполнение кода в доменах изолированных приложений
В следующей процедуре объясняется, как определить класс с помощью методов, которые могут быть выполнены в домене приложения, как создать экземпляр класса в домене и как выполнить его методы.
Определение и выполнение метода в домене приложения
Определите класс, производный от класса MarshalByRefObject. Это позволит создавать экземпляры класса в других доменах приложений, а также вызывать методы за пределами домена приложения. Класс в этом примере назван
Worker.public class Worker : MarshalByRefObject {Public Class Worker Inherits MarshalByRefObjectОпределите открытый метод, содержащий код, который следует выполнить. В этом примере в коде порождается простой динамический метод, создается делегат для выполнения этого метода и вызывается делегат.
public void SimpleEmitDemo() { DynamicMethod meth = new DynamicMethod("", null, null); ILGenerator il = meth.GetILGenerator(); il.EmitWriteLine("Hello, World!"); il.Emit(OpCodes.Ret); Test1 t1 = (Test1) meth.CreateDelegate(typeof(Test1)); t1(); }Public Sub SimpleEmitDemo() Dim meth As DynamicMethod = new DynamicMethod("", Nothing, Nothing) Dim il As ILGenerator = meth.GetILGenerator() il.EmitWriteLine("Hello, World!") il.Emit(OpCodes.Ret) Dim t1 As Test1 = CType(meth.CreateDelegate(GetType(Test1)), Test1) t1() End SubВ основной программе получите отображаемое имя сборки. Это имя используется при создании экземпляров класса
Workerв домене изолированного приложения.String asmName = typeof(Worker).Assembly.FullName;Dim asmName As String = GetType(Worker).Assembly.FullNameВ основной программе создайте домен изолированного приложения, как описано в первой процедуре этого пошагового руководства. Добавлять какие-либо разрешения в набор разрешений
Internetне нужно, так как методSimpleEmitDemoиспользует только открытые методы.В основной программе создайте экземпляр класса
Workerв домене изолированного приложения.Worker w = (Worker) ad.CreateInstanceAndUnwrap(asmName, "Worker");Dim w As Worker = _ CType(ad.CreateInstanceAndUnwrap(asmName, "Worker"), Worker)Метод CreateInstanceAndUnwrap создает объект в целевом домене приложения и возвращает прокси, который может использоваться для вызова свойств и методов объекта.
Примечание
При использовании этого кода в Visual Studio необходимо изменить имя класса для включения пространства имен. По умолчанию пространство имен носит имя проекта. Например, если проект называется PartialTrust, имя класса должно быть PartialTrust.Worker.
Добавьте код для вызова метода
SimpleEmitDemo. Вызов маршалируется через границу домена приложения, а код выполняется в изолированном домене приложения.w.SimpleEmitDemo();w.SimpleEmitDemo()
Использование анонимно размещенных динамических методов
Анонимно размещенные динамические методы связаны с прозрачной сборкой, предоставленной системой. Поэтому содержащийся в них код является прозрачным. С другой стороны, обычные динамические методы должны быть связаны с существующим модулем (указанным непосредственно или выведенным из связанного типа) и принимать от него уровень безопасности.
Примечание
Единственный способ сопоставления динамического метода со сборкой, предоставляющей анонимное размещение, — это использование конструкторов, описанных в следующей процедуре. Невозможно явно указать модуль в анонимно размещающей сборке.
Обычные динамические методы имеют доступ к внутренним членам модуля, с которым они связаны, или к закрытым членам типа, с которым они связаны. Так как анонимно размещенные динамические методы изолированы от другого кода, они не имеют доступа к конфиденциальным данным. Но у них есть ограниченная возможность пропускать проверки видимости, выполняемые JIT-компилятором, для получения доступа к конфиденциальным данным. Эта возможность ограничивается сборками, уровень доверия которых не превышает уровень доверия сборки, породившей этот код.
Чтобы предотвратить повышение привилегий, при создании анонимно размещенных динамических методов включаются также сведения стека для порождающей сборки. При вызове метода проверяются сведения стека. Вызванный из полностью доверенного кода анонимно размещенный динамический метод все так же ограничен уровнем доверия породившей его сборки.
Использование анонимно размещенных динамических методов
Создайте анонимно размещенный динамический метод с помощью конструктора, который не задает связанный модуль или тип.
DynamicMethod meth = new DynamicMethod("", null, null); ILGenerator il = meth.GetILGenerator(); il.EmitWriteLine("Hello, World!"); il.Emit(OpCodes.Ret);Dim meth As DynamicMethod = new DynamicMethod("", Nothing, Nothing) Dim il As ILGenerator = meth.GetILGenerator() il.EmitWriteLine("Hello, World!") il.Emit(OpCodes.Ret)Если анонимно размещенный динамический метод использует только открытые типы и методы, ему не требуется ограниченный доступ к членам и он может не пропускать проверки видимости, выполняемые JIT-компилятором.
Специальных разрешений для порождения динамического метода не требуется, но порождаемый код нуждается в разрешениях, которые требуются для используемых в этом коде типов и методов. Например, если порожденный код вызывает метод, который получает доступ к файлу, необходимо разрешение FileIOPermission. Если уровень доверия не включает это разрешение, при выполнении порожденного кода создается исключение безопасности. Приведенный здесь код порождает динамический метод, который использует только метод Console.WriteLine. Поэтому код может быть выполнен в расположениях с частичным доверием.
Кроме того, вы можете создать анонимно размещенный динамический метод с ограниченной возможностью пропуска проверок видимости, выполняемых JIT-компилятором, путем использования конструктора DynamicMethod(String, Type, Type[], Boolean) и указания значения
trueдля параметраrestrictedSkipVisibility.DynamicMethod meth = new DynamicMethod("", typeof(char), new Type[] { typeof(String) }, true);Dim meth As New DynamicMethod("", _ GetType(Char), _ New Type() {GetType(String)}, _ True)Ограничение заключается в том, что анонимно размещенный динамический метод может получать доступ к конфиденциальным данным только в сборках, уровень доверия которых не превышает уровень доверия порождающей сборки. Например, если динамический метод выполняется с доверием Интернету, он может получить доступ к конфиденциальным данным в других сборках, которые также работают с доверием Интернету, но не может получить доступ к конфиденциальным данным сборок .NET Framework. Сборки .NET framework устанавливаются в глобальном кэше сборок и всегда имеют полное доверие.
Анонимно размещенные динамические методы могут использовать эту ограниченную возможность пропуска проверок видимости, выполняемых JIT-компилятором, только в том случае, если ведущее приложение предоставляет разрешение ReflectionPermission с флагом ReflectionPermissionFlag.RestrictedMemberAccess. Это разрешение требуется при вызове метода.
Примечание
Сведения стека вызовов для порождающей сборки включаются при создании динамического метода. Поэтому запрос делается в отношении разрешений порождающей сборки, а не сборки, вызывающей метод. Это препятствует выполнению порожденного кода с повышенным уровнем разрешений.
Полный пример кода в конце этого пошагового руководства служит для демонстрации использования ограниченного доступа к членам. Класс
Workerсодержит метод, который может создавать анонимно размещенные динамические методы с ограниченной возможностью пропускать проверки видимости или без нее, а в примере показан результат выполнения этого метода в доменах приложений с другими уровнями доверия.Примечание
Ограниченная возможность пропускать проверки видимости — это функциональная возможность анонимно размещенных динамических методов. Если обычные динамические методы пропускают проверки видимости, выполняемые JIT-компилятором, им следует предоставить полное доверие.
Пример
Описание
В следующем примере кода демонстрируется использование флага RestrictedMemberAccess для разрешения пропуска проверок видимости, выполняемых JIT-компилятором, анонимно размещенными динамическими методами, но только в тех случаях, когда уровень доверия целевого члена не превышает уровень доверия сборки, порождающей код.
В примере определяется Worker класс, который можно маршалировать через границы домена приложения. Этот класс содержит две перегрузки метода AccessPrivateMethod, которые порождают и выполняют динамические методы. Первая перегрузка порождает динамический метод, который вызывает закрытый метод PrivateMethod класса Worker. Она может порождать динамический метод с проверкой видимости с помощью JIT-компилятора или без нее. Вторая перегрузка порождает динамический метод, который получает доступ к свойству internal (свойство Friend в Visual Basic) класса String.
В примере используется вспомогательный метод для создания набора правил, ограниченного разрешениями Internet, а затем создается домен приложения с помощью перегрузки метода AppDomain.CreateDomain(String, Evidence, AppDomainSetup, PermissionSet, StrongName[]) для указания необходимости использовать этот набор правил для всего кода, выполняемого в домене. В примере создается экземпляр класса Worker в домене приложения, а затем дважды выполняется метод AccessPrivateMethod.
При первом выполнении метода
AccessPrivateMethodпринудительно выполняются проверки видимости с помощью JIT-компилятора. Динамический метод завершается сбоем после вызова, так как проверки видимости с помощью JIT-компилятора не дают ему получить доступ к закрытому методу.При втором выполнении метода
AccessPrivateMethodпроверки видимости с помощью JIT-компилятора пропускаются. Компиляция динамического метода завершается сбоем, так как набор правилInternetне предоставляет достаточных разрешений для пропуска проверок видимости.
В примере в набор правил добавляется ReflectionPermission с ReflectionPermissionFlag.RestrictedMemberAccess. Затем в примере создается второй домен и указывается, что весь код, выполняемый в домене, получает разрешения из нового набора правил. В примере создается экземпляр класса Worker в новом домене приложения, а затем выполняются обе перегрузки метода AccessPrivateMethod.
Выполняется первая перегрузка метода
AccessPrivateMethod, и проверки видимости с помощью JIT-компилятора пропускаются. Динамический метод успешно компилируется и выполняется, так как сборка, породившая код, является такой же, как сборка, содержащая закрытый метод. Поэтому уровни доверия одинаковы. Если приложение, содержащее классWorker, содержало бы несколько сборок, этот же процесс прошел бы успешно для любой из них, так как они все имели бы один и тот же уровень доверия.Выполняется вторая перегрузка метода
AccessPrivateMethod, и проверки видимости с помощью JIT-компилятора снова пропускаются. На этот раз компиляция динамического метода завершается сбоем, потому что происходит попытка получить доступ к свойствуinternalFirstCharкласса String. Сборка, содержащая класс String, имеет полное доверие. Поэтому уровень доверия выше, чем у сборки, порождающей код.
В этом сравнении показано, как ReflectionPermissionFlag.RestrictedMemberAccess позволяет пропускать в частично доверенном коде проверки видимости, предназначенные для другого частично доверенного кода, без нарушения безопасности доверенного кода.
Код
using System;
using System.Reflection.Emit;
using System.Reflection;
using System.Security;
using System.Security.Permissions;
using System.Security.Policy;
using System.Collections;
using System.Diagnostics;
// This code example works properly only if it is run from a fully
// trusted location, such as your local computer.
// Delegates used to execute the dynamic methods.
//
public delegate void Test(Worker w);
public delegate void Test1();
public delegate char Test2(String instance);
// The Worker class must inherit MarshalByRefObject so that its public
// methods can be invoked across application domain boundaries.
//
public class Worker : MarshalByRefObject
{
private void PrivateMethod()
{
Console.WriteLine("Worker.PrivateMethod()");
}
public void SimpleEmitDemo()
{
DynamicMethod meth = new DynamicMethod("", null, null);
ILGenerator il = meth.GetILGenerator();
il.EmitWriteLine("Hello, World!");
il.Emit(OpCodes.Ret);
Test1 t1 = (Test1) meth.CreateDelegate(typeof(Test1));
t1();
}
// This overload of AccessPrivateMethod emits a dynamic method and
// specifies whether to skip JIT visiblity checks. It creates a
// delegate for the method and invokes the delegate. The dynamic
// method calls a private method of the Worker class.
public void AccessPrivateMethod(bool restrictedSkipVisibility)
{
// Create an unnamed dynamic method that has no return type,
// takes one parameter of type Worker, and optionally skips JIT
// visiblity checks.
DynamicMethod meth = new DynamicMethod(
"",
null,
new Type[] { typeof(Worker) },
restrictedSkipVisibility);
// Get a MethodInfo for the private method.
MethodInfo pvtMeth = typeof(Worker).GetMethod("PrivateMethod",
BindingFlags.NonPublic | BindingFlags.Instance);
// Get an ILGenerator and emit a body for the dynamic method.
ILGenerator il = meth.GetILGenerator();
// Load the first argument, which is the target instance, onto the
// execution stack, call the private method, and return.
il.Emit(OpCodes.Ldarg_0);
il.EmitCall(OpCodes.Call, pvtMeth, null);
il.Emit(OpCodes.Ret);
// Create a delegate that represents the dynamic method, and
// invoke it.
try
{
Test t = (Test) meth.CreateDelegate(typeof(Test));
try
{
t(this);
}
catch (Exception ex)
{
Console.WriteLine("{0} was thrown when the delegate was invoked.",
ex.GetType().Name);
}
}
catch (Exception ex)
{
Console.WriteLine("{0} was thrown when the delegate was compiled.",
ex.GetType().Name);
}
}
// This overload of AccessPrivateMethod emits a dynamic method that takes
// a string and returns the first character, using a private field of the
// String class. The dynamic method skips JIT visiblity checks.
public void AccessPrivateMethod()
{
DynamicMethod meth = new DynamicMethod("",
typeof(char),
new Type[] { typeof(String) },
true);
// Get a MethodInfo for the 'get' accessor of the private property.
PropertyInfo pi = typeof(System.String).GetProperty(
"FirstChar",
BindingFlags.NonPublic | BindingFlags.Instance);
MethodInfo pvtMeth = pi.GetGetMethod(true);
// Get an ILGenerator and emit a body for the dynamic method.
ILGenerator il = meth.GetILGenerator();
// Load the first argument, which is the target string, onto the
// execution stack, call the 'get' accessor to put the result onto
// the execution stack, and return.
il.Emit(OpCodes.Ldarg_0);
il.EmitCall(OpCodes.Call, pvtMeth, null);
il.Emit(OpCodes.Ret);
// Create a delegate that represents the dynamic method, and
// invoke it.
try
{
Test2 t = (Test2) meth.CreateDelegate(typeof(Test2));
char first = t("Hello, World!");
Console.WriteLine("{0} is the first character.", first);
}
catch (Exception ex)
{
Console.WriteLine("{0} was thrown when the delegate was compiled.",
ex.GetType().Name);
}
}
// The entry point for the code example.
static void Main()
{
// Get the display name of the executing assembly, to use when
// creating objects to run code in application domains.
String asmName = typeof(Worker).Assembly.FullName;
// Create the permission set to grant to other assemblies. In this
// case they are the permissions found in the Internet zone.
Evidence ev = new Evidence();
ev.AddHostEvidence(new Zone(SecurityZone.Internet));
PermissionSet pset = new NamedPermissionSet("Internet", SecurityManager.GetStandardSandbox(ev));
// For simplicity, set up the application domain to use the
// current path as the application folder, so the same executable
// can be used in both trusted and untrusted scenarios. Normally
// you would not do this with real untrusted code.
AppDomainSetup adSetup = new AppDomainSetup();
adSetup.ApplicationBase = ".";
// Create an application domain in which all code that executes is
// granted the permissions of an application run from the Internet.
AppDomain ad = AppDomain.CreateDomain("Sandbox", ev, adSetup, pset, null);
// Create an instance of the Worker class in the partially trusted
// domain. Note: If you build this code example in Visual Studio,
// you must change the name of the class to include the default
// namespace, which is the project name. For example, if the project
// is "AnonymouslyHosted", the class is "AnonymouslyHosted.Worker".
Worker w = (Worker) ad.CreateInstanceAndUnwrap(asmName, "Worker");
// Emit a simple dynamic method that prints "Hello, World!"
w.SimpleEmitDemo();
// Emit and invoke a dynamic method that calls a private method
// of Worker, with JIT visibility checks enforced. The call fails
// when the delegate is invoked.
w.AccessPrivateMethod(false);
// Emit and invoke a dynamic method that calls a private method
// of Worker, skipping JIT visibility checks. The call fails when
// the method is invoked.
w.AccessPrivateMethod(true);
// Unload the application domain. Add RestrictedMemberAccess to the
// grant set, and use it to create an application domain in which
// partially trusted code can call private members, as long as the
// trust level of those members is equal to or lower than the trust
// level of the partially trusted code.
AppDomain.Unload(ad);
pset.SetPermission(
new ReflectionPermission(
ReflectionPermissionFlag.RestrictedMemberAccess));
ad = AppDomain.CreateDomain("Sandbox2", ev, adSetup, pset, null);
// Create an instance of the Worker class in the partially trusted
// domain.
w = (Worker) ad.CreateInstanceAndUnwrap(asmName, "Worker");
// Again, emit and invoke a dynamic method that calls a private method
// of Worker, skipping JIT visibility checks. This time compilation
// succeeds because of the grant for RestrictedMemberAccess.
w.AccessPrivateMethod(true);
// Finally, emit and invoke a dynamic method that calls an internal
// method of the String class. The call fails, because the trust level
// of the assembly that contains String is higher than the trust level
// of the assembly that emits the dynamic method.
w.AccessPrivateMethod();
}
}
/* This code example produces the following output:
Hello, World!
MethodAccessException was thrown when the delegate was invoked.
MethodAccessException was thrown when the delegate was invoked.
Worker.PrivateMethod()
MethodAccessException was thrown when the delegate was compiled.
*/
Imports System.Reflection.Emit
Imports System.Reflection
Imports System.Security
Imports System.Security.Permissions
Imports System.Security.Policy
Imports System.Collections
Imports System.Diagnostics
' This code example works properly only if it is run from a fully
' trusted location, such as your local computer.
' Delegates used to execute the dynamic methods.
'
Public Delegate Sub Test(ByVal w As Worker)
Public Delegate Sub Test1()
Public Delegate Function Test2(ByVal instance As String) As Char
' The Worker class must inherit MarshalByRefObject so that its public
' methods can be invoked across application domain boundaries.
'
Public Class Worker
Inherits MarshalByRefObject
Private Sub PrivateMethod()
Console.WriteLine("Worker.PrivateMethod()")
End Sub
Public Sub SimpleEmitDemo()
Dim meth As DynamicMethod = new DynamicMethod("", Nothing, Nothing)
Dim il As ILGenerator = meth.GetILGenerator()
il.EmitWriteLine("Hello, World!")
il.Emit(OpCodes.Ret)
Dim t1 As Test1 = CType(meth.CreateDelegate(GetType(Test1)), Test1)
t1()
End Sub
' This overload of AccessPrivateMethod emits a dynamic method and
' specifies whether to skip JIT visiblity checks. It creates a
' delegate for the method and invokes the delegate. The dynamic
' method calls a private method of the Worker class.
Overloads Public Sub AccessPrivateMethod( _
ByVal restrictedSkipVisibility As Boolean)
' Create an unnamed dynamic method that has no return type,
' takes one parameter of type Worker, and optionally skips JIT
' visiblity checks.
Dim meth As New DynamicMethod("", _
Nothing, _
New Type() {GetType(Worker)}, _
restrictedSkipVisibility)
' Get a MethodInfo for the private method.
Dim pvtMeth As MethodInfo = GetType(Worker).GetMethod( _
"PrivateMethod", _
BindingFlags.NonPublic Or BindingFlags.Instance)
' Get an ILGenerator and emit a body for the dynamic method.
Dim il As ILGenerator = meth.GetILGenerator()
' Load the first argument, which is the target instance, onto the
' execution stack, call the private method, and return.
il.Emit(OpCodes.Ldarg_0)
il.EmitCall(OpCodes.Call, pvtMeth, Nothing)
il.Emit(OpCodes.Ret)
' Create a delegate that represents the dynamic method, and
' invoke it.
Try
Dim t As Test = CType(meth.CreateDelegate(GetType(Test)), Test)
Try
t(Me)
Catch ex As Exception
Console.WriteLine("{0} was thrown when the delegate was invoked.", _
ex.GetType().Name)
End Try
Catch ex As Exception
Console.WriteLine("{0} was thrown when the delegate was compiled.", _
ex.GetType().Name)
End Try
End Sub
' This overload of AccessPrivateMethod emits a dynamic method that takes
' a string and returns the first character, using a private field of the
' String class. The dynamic method skips JIT visiblity checks.
Overloads Public Sub AccessPrivateMethod()
Dim meth As New DynamicMethod("", _
GetType(Char), _
New Type() {GetType(String)}, _
True)
' Get a MethodInfo for the 'get' accessor of the private property.
Dim pi As PropertyInfo = GetType(String).GetProperty( _
"FirstChar", _
BindingFlags.NonPublic Or BindingFlags.Instance)
Dim pvtMeth As MethodInfo = pi.GetGetMethod(True)
' Get an ILGenerator and emit a body for the dynamic method.
Dim il As ILGenerator = meth.GetILGenerator()
' Load the first argument, which is the target string, onto the
' execution stack, call the 'get' accessor to put the result onto
' the execution stack, and return.
il.Emit(OpCodes.Ldarg_0)
il.EmitCall(OpCodes.Call, pvtMeth, Nothing)
il.Emit(OpCodes.Ret)
' Create a delegate that represents the dynamic method, and
' invoke it.
Try
Dim t As Test2 = CType(meth.CreateDelegate(GetType(Test2)), Test2)
Dim first As Char = t("Hello, World!")
Console.WriteLine("{0} is the first character.", first)
Catch ex As Exception
Console.WriteLine("{0} was thrown when the delegate was compiled.", _
ex.GetType().Name)
End Try
End Sub
End Class
Friend Class Example
' The entry point for the code example.
Shared Sub Main()
' Get the display name of the executing assembly, to use when
' creating objects to run code in application domains.
Dim asmName As String = GetType(Worker).Assembly.FullName
' Create the permission set to grant to other assemblies. In this
' case they are the permissions found in the Internet zone.
Dim ev As New Evidence()
ev.AddHostEvidence(new Zone(SecurityZone.Internet))
Dim pset As New NamedPermissionSet("Internet", SecurityManager.GetStandardSandbox(ev))
' For simplicity, set up the application domain to use the
' current path as the application folder, so the same executable
' can be used in both trusted and untrusted scenarios. Normally
' you would not do this with real untrusted code.
Dim adSetup As New AppDomainSetup()
adSetup.ApplicationBase = "."
' Create an application domain in which all code that executes is
' granted the permissions of an application run from the Internet.
Dim ad As AppDomain = AppDomain.CreateDomain("Sandbox", ev, adSetup, pset, Nothing)
' Create an instance of the Worker class in the partially trusted
' domain. Note: If you build this code example in Visual Studio,
' you must change the name of the class to include the default
' namespace, which is the project name. For example, if the project
' is "AnonymouslyHosted", the class is "AnonymouslyHosted.Worker".
Dim w As Worker = _
CType(ad.CreateInstanceAndUnwrap(asmName, "Worker"), Worker)
' Emit a simple dynamic method that prints "Hello, World!"
w.SimpleEmitDemo()
' Emit and invoke a dynamic method that calls a private method
' of Worker, with JIT visibility checks enforced. The call fails
' when the delegate is invoked.
w.AccessPrivateMethod(False)
' Emit and invoke a dynamic method that calls a private method
' of Worker, skipping JIT visibility checks. The call fails when
' the method is compiled.
w.AccessPrivateMethod(True)
' Unload the application domain. Add RestrictedMemberAccess to the
' grant set, and use it to create an application domain in which
' partially trusted code can call private members, as long as the
' trust level of those members is equal to or lower than the trust
' level of the partially trusted code.
AppDomain.Unload(ad)
pset.SetPermission( _
New ReflectionPermission( _
ReflectionPermissionFlag.RestrictedMemberAccess))
ad = AppDomain.CreateDomain("Sandbox2", ev, adSetup, pset, Nothing)
' Create an instance of the Worker class in the partially trusted
' domain.
w = CType(ad.CreateInstanceAndUnwrap(asmName, "Worker"), Worker)
' Again, emit and invoke a dynamic method that calls a private method
' of Worker, skipping JIT visibility checks. This time compilation
' succeeds because of the grant for RestrictedMemberAccess.
w.AccessPrivateMethod(True)
' Finally, emit and invoke a dynamic method that calls an internal
' method of the String class. The call fails, because the trust level
' of the assembly that contains String is higher than the trust level
' of the assembly that emits the dynamic method.
w.AccessPrivateMethod()
End Sub
End Class
' This code example produces the following output:
'
'Hello, World!
'MethodAccessException was thrown when the delegate was invoked.
'MethodAccessException was thrown when the delegate was invoked.
'Worker.PrivateMethod()
'MethodAccessException was thrown when the delegate was compiled.
'
Компиляция кода
- При сборке этого примера кода в Visual Studio необходимо изменить имя класса при передаче его в метод CreateInstanceAndUnwrap, включив в него пространство имен. По умолчанию пространство имен носит имя проекта. Например, если проект называется PartialTrust, имя класса должно быть PartialTrust.Worker.
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по