标签: sandbox

我尝试在游戏中使用GC沙盒,在iOS 7上工作正常,但在iOS 8 beta5 GC身份验证返回错误"请求的操作无法完成,因为此应用程序无法被Game Center识别".在生产中,GC在iOS 7和8 beta5上运行良好.

当反病毒在称为"沙盒"的虚拟环境中运行某些应用程序时,从Windows内核的角度来看,这个沙箱是如何精确工作的？

写这样的沙箱难吗？

我在打电话

[[NSWorkspace sharedWorkspace] launchApplication:path];

从我的沙盒应用程序,我在控制台中收到此错误:

9/5/11 12:23:12.462 PM lsboxd:拒绝为21383产生<PATH删除> - 原因-10826

9/5/11 12:23:12.463 PM App:spawn_via_launchd()失败,错误= 54 label = [0x0-0x1994993] .MYApp path = <PATH REDACTED> flags = 0

9/5/11 12:23:12.464 PM应用程序:LSOpenFromURLSpec()为应用程序<PATH REDACTED>(null)返回-10810.

换句话说,我显然被"启动服务沙箱守护进程"(lsboxd)阻止,它不认为应用程序1应该启动应用程序2.

对于记录10826是"用户没有启动应用程序的权限"然后10810是"发生未知错误"

有没有人知道这个案子的权利？

如何从沙盒应用程序启动其他应用程序(请不要说AppleScript - 这是一个无法运作的噩梦,尤其是从沙盒应用程序或XPC服务调用时).理想的方法是在沙箱中使用(严重残缺的)NSWorkspace.

我不知道paypal沙盒上的身份令牌在哪里.身份令牌是否与api号码相同？

我需要从我的cooca应用程序向最前面的应用程序发送击键.

我已经有了使用CGEventCreateKeyboardEvent()and的工作代码AXUIElementPostKeyboardEvent(),但它只适用于app不是沙盒的情况.

我已经搜索谷歌相同,但没有找到任何有效的解决方案.

我看到一个Text应用程序和其他几个人在沙盒环境中做同样的事情,所以我想知道,如果有人帮我弄清楚,aText.app和其他人如何能够在沙箱环境中发送击键.

谢谢,

我有一个奇怪的问题 - 当将应用程序(带有rest api的纯角应用程序)部署到生产服务器并通过其他站点的链接访问其URL时(例如参考电子邮件)我有空白页面 - firefox什么也没说,chrome说

在"网站的URL"中阻止执行脚本,因为文档的框架是沙箱,并且未设置"allow-scripts"权限.

并阻止我所有的.js文件......

这是什么意思？我在互联网上发现了一些关于iframe的内容,但我的网站上没有iframe ...

我认为最奇怪的是,如果我直接访问该链接,一切都可以正常工作......

那么如何避免这种行为呢？

谢谢你的回复

我正在开发一个Mac应用程序,它使用NSOpenPanel提示用户输入文件.应用程序是沙箱(在OSX 10.9.4上测试).我注意到如果我打开大量文件(~3000),打开的面板会开始向日志发出错误.如果我尝试在chucks中打开少量文件多次,也会发生这种情况.

在第一次出现错误之后,每次再次使用NSOpenPanel打开文件时,无论文件数量多少,都会再次生成这些错误(直到应用程序关闭).

错误消息如下所示:

TestPanel[98508:303] __41+[NSSavePanel _consumeSandboxExtensions:]_block_invoke: sandbox_consume_fs_extension failed

我试图打开的每个文件一行.

我设法用一个简单的应用程序重现这种行为:一个带有单个按钮的沙盒应用程序调用以下代码:

NSOpenPanel* panel = [NSOpenPanel openPanel];
[panel setAllowsMultipleSelection:YES];
[panel setCanChooseDirectories:NO];
[panel setCanChooseFiles:YES];
[panel beginSheetModalForWindow:[self window] completionHandler:^(NSInteger result) {
    NSLog(@"%lu", [panel.URLs count]);
}];

错误出现在代码到达完成处理程序之前.

似乎我仍然可以从完成处理程序中的面板中获取URL,但它确实污染了系统日志.

编辑:

似乎此问题与NSOpenPanel/NSSavePanel面板没有直接关系.使用drap/drop with files时会发生非常类似的事情.像这样的东西:

- (NSDragOperation)draggingEntered:(id <NSDraggingInfo>)sender {
    ...
    NSPasteboard *pboard = [sender draggingPasteboard];
    if ([[pboard types] containsObject:NSURLPboardType]) {
        NSArray *urls = [pboard readObjectsForClasses:@[[NSURL class]] options:nil];
    }
    ...
}

拖动大量文件时会生成以下日志消息("魔术"数字似乎在2900左右):

Consume sandbox extension for itemIdentifier (2937) from pasteboard failed!

与NSOpenPanel一样,在第一次出现之后,每个丢弃的文件都会在日志中生成相同的错误.

编辑2:

@mahal tertin的回复向我指出了正确的方向.问题确实存在于文件数量和安全范围URL资源有限的事实上.

但是,似乎找不到合理的解决方案.问题是,当用户在NSOpenPanel上单击"确定"(或删除拖放感知控件上的文件)时,操作系统已经尝试创建这些安全范围的URL并隐式调用startAccessingSecurityScopedResource您.因此,如果用户尝试打开的文件超过限制,则资源将耗尽,唯一的选择是关闭并重新启动应用程序. …

我在沙盒帐户上收到此错误:

我们目前无法使用您的PayPal帐户处理您的付款.请返回商家并尝试使用其他付款方式.

我的.Net应用程序已成功重定向到PayPal,并提供正确的付款详细信息.一旦我使用我的沙盒帐户登录,我就会收到上述错误.有没有办法获取日志或任何可以帮助我解决问题的方法？这个星期一直工作正常,所以我想知道那段时间有变化吗？

我已检查帐户有适当的余额.付款为24欧元,因此不会过多.关于这个问题还有一些其他帖子,但没有任何合适的建议.

2 postMessage调用测试:1使用星号表示targetOrigin,其中一个使用父文档和子文档的相同https URL.

按钮1:

$('.iframed')[0].contentWindow.postMessage( messageData , '*' );

按钮2:

$('.iframed')[0].contentWindow.postMessage( messageData , 'https://myurl.net' );

父html文档中的iframe元素,指向同一域中的子html文件,位于同一目录中:

<iframe name="childFrame" class="iframed" src="child.html" sandbox="allow-scripts"></iframe>

在单击按钮以触发postMessage之前,两个文档都已完全加载.

==========================================

使用iframe元素如上所述,按钮1对子iframe执行postMessage并成功触发子的postMessage侦听器(尽管它使用了asOisk用于targetOrigin,我不想这样做.)但是,按钮2会产生以下结果控制台中的错误:

"无法在'DOMWindow'上执行'postMessage':提供的目标源(' https://myurl.net ')与收件人窗口的原点('null')不匹配."

==========================================

如果我将"allow-same-origin"添加到iframe的沙箱参数,则两个按钮都会成功传递postMessage数据(按钮2 postMessage调用没有"null"错误,并为targetOrigin提供了url.)但是,我不知道我想这样做,因为我使用iframe的沙盒行为来阻止iframe内容来调用父文档中的js函数.这是一个系统允许"任意"内容(html/js/images/pdfs - 没有像php这样的服务器可执行文件)加载到子iframe中.

也许值得注意的是,iframe内容中的postMessage到父文档的类似按钮工作正常,无论allow-same-origin参数还是asterisk/url的存在:

我陷害按钮1:

parent.postMessage( messageData , 'https://myurl.net' ); 

iframed按钮2:

parent.postMessage( messageData , '*' ); 

==========================================

所以,如果我不添加"allow-same-origin"(为什么这个问题不会影响iframe postMessage到父级),为什么postMessage从父级到iframe会导致上面的错误？我尝试将iframe src设置为child.html文档的绝对https网址,但结果是相同的.我还在不同的非ssl-cert服务器位置测试了相同的代码,并且具有相同的结果(所以不要认为它是https贡献...).我必须使用asterisk作为targetOrigin,并且/或者在沙箱参数中使用allow-same-origin？

关于这个问题的其他关于SO的谈话似乎是死路一条,因此希望对解决方案有新的看法......

要在家中运行不受信任的代码,我使用VMWare虚拟机.我想找到一个替代的轻量级沙箱API来运行不受信任的应用程序,而无需安装VMWare或任何其他类型的最终用户虚拟化工具.(编辑:我不希望它托管操作系统 - 我希望它运行不受信任的应用程序).

理想情况下,沙箱将是(或可以制作)透明,因此在沙箱中运行的应用程序不会显示任何额外的镶边或特征.(他们不是在Mac上的Parallels中这样做)

我希望Windows .NET开发人员能够使用API​​,而不是启动特殊的GUI,我可以为它编写脚本.

这就像谷歌Chrome浏览器Web浏览器如何包含自己的技术,以便从Internet运行沙箱脚本以保护系统.Google不需要使用他们的浏览器分发VMWare,但他们实现了应用程序的沙箱安全性.

编辑:

寻找像谷歌Chrome一样轻量级的东西包含诸如极大限制的文件/网络/ UI访问,低权限等功能.不寻找运行/托管自己的操作系统.