Jint: 반사 방지 / GetType

.NET 클래스의 사용을 전체적으로 방지하거나 특정 네임스페이스를 등록할 수 있습니다. 충분하지 않습니까?

내가 원하는 속성과 메서드만 노출하는 래퍼 개체를 .net에서 만들었기 때문에 js에서 내 개체를 노출하고 싶습니다.

그러나 그들은 여전히 ​​.GetType을 가지고 있습니다. 이것은 실제 객체에 접근하는 데 사용될 수 있고 훨씬 더 많이 가능하기 때문에 저에게 보안 문제입니다.

맞습니다. .NET이 이를 방지하기 위해 할 수 있는 일은 없습니다. 래퍼(AutoMapper 참조) 대신 새 개체를 만들고 전달할 수 있습니다. DTO처럼.

.net의 "객체"에 직접 있기 때문에 모든 객체에는 GetType()이 있습니다.

OnMethodCall 또는 OnResolveMethod 같은 후크가 있습니까?
그래서 수동으로 방법을 해결할 수 있습니까, 아니면 액세스를 거부할 수 있습니까?

동적 개체를 사용하고 메서드 해결을 재정의할 수 있습니다.

2016년 3월 1일 화요일 오후 1시 58분, asdfgasdfsafgsdfa [email protected]
썼다:

모든 객체는 GetType()을 가집니다.
.그물

OnMethodCall 또는 OnResolveMethod 같은 후크가 있습니까?
그래서 수동으로 방법을 해결할 수 있습니까, 아니면 액세스를 거부할 수 있습니까?

—
이 이메일에 직접 답장하거나 GitHub에서 확인하세요.
https://github.com/sebastienros/jint/issues/275#issuecomment -190852140.

@doronguttman 맞습니다. 래퍼가 이를 방지할 수 있습니다.

알겠습니다. 정보 감사합니다. 그렇게 하겠습니다.

안녕,
이 문제를 제출해 주셔서 감사합니다. JS 엔진에 .Net 개체를 전달하면 JS가 .GetType() 를 호출할 수 있을 거라고 생각하지 못했습니다. 사용자 정의 JS 코드가 애플리케이션에 민감한 정보를 저장하는 다양한 클래스의 필드를 검색할 수 있기 때문에 이것은 보안 문제이기도 합니다.

원래 메서드를 숨기기 위해 "GetType" 새 메서드를 선언하기 위해 내가 Jint에 전달한 개체에 대해 충분할까요? 이와 같이:

C# public class Api { public new void GetType() { // Don't allow JS code to get the type } }

이것을 시도했을 때 작동하는 것 같았습니다(Javascript에서는 .GetType()을 호출하여 정의되지 않음). 그러나 이것을 우회하는 방법이 있는지 모르겠습니다(.Net에서는 ((object)api).GetType() 를 할 수 있습니다. 여전히 유형을 얻습니다).
이것으로 충분하다면 (동적) 래퍼 객체를 사용하는 대신 이 솔루션을 선호합니다. 나는 새로운 GetType() 메소드를 선언하기 위해 Jint에 전달할 수 있는 모든 클래스를 가질 것입니다.

이것은 Array 객체에도 필요합니까? 이것을 테스트했을 때 .Net 객체가 .Net Array를 반환할 때 Jint는 네이티브 자바스크립트 배열을 생성하므로 GetType()이 가능하지 않은 것 같습니다.

Javascript 코드가 전달된 .Net 객체에 대해 .GetType()을 호출하여 다른 객체에 액세스할 수 있다는 것을 모든 사람이 깨닫지 못할 것이라고 생각하기 때문에 .Net 객체에서 이름이 "GetType"인 호출 메서드를 허용하지 않도록 Jint를 수정할 수 있는지 궁금합니다. 클래스의 필드.
이렇게 하면 이미 존재하는 .Net 유형을 전달할 수도 있습니다(그렇지 않으면 다른 개체를 반환하는 메서드에 대한 새 래퍼를 차례로 생성하는 동적 래퍼를 생성해야 함).

감사 해요!

@T18970237136

나는 그것이 어떻게든 피할 수 있다고 확신한다. 그리고 그렇지 않더라도 "new object()"를 인스턴스화한 다음 GetType을 사용하는 방법이 있을 수 있습니다.

이에 대한 최상의 솔루션은 일종의 호출 이벤트 또는 할당할 수 있는 더 나은 일부 클래스를 갖는 것입니다.

예를 들어:

class InvokeFilter { virtual MethodInfo ResolveMethod(... ) { /_jint가 기본적으로 수행하는 모든 작업은 이미_/ } }

그런 다음 자신의 호출 필터를 구현하고 필터링하고 싶지 않은 항목을 base.ResolveMethod(...)에 전달할 수 있습니다.

나는 이것이 전혀 구현하기 어렵다고 생각하지 않습니다. 아마도 나중에 PR을 할 것입니다.
하지만 @sebastienros 가 들일지 확신할 수 없습니다 :S

저는 이것을 사용자 정의 속성인 JintInteropAttribute로 구현하려고 합니다.

ObjectWrapper 클래스의 GetOwnProperty 메서드를 업데이트하여 이 특성의 존재 여부에 따라 반사를 필터링할 수 있습니다.

이것은 Jint에 전달된 .NET 개체를 잠가야 합니다(기본적으로 GetType, ToString 및 GetHashCode 등과 같은 메서드를 숨김). 그런 다음 속성으로 장식하여 클래스 멤버에 액세스할 수 있습니다.

[JintInterop]
public void CallMe()
{
}

(NB .NET 클래스 및 네임스페이스에 대한 직접 액세스를 허용할 필요가 없습니다)

사용자 지정 속성을 만드는 대신 멤버(속성, 필드, 메서드 등)에 대한 리플렉션이 호출될 때마다 호출되는 옵션에서 이벤트를 만들고 이를 허용/비허용하려면 true/false를 반환해야 합니다. 그런 다음 사용자 정의 속성을 사용하거나 이름을 확인하는 것과 같이 코드에서 자체 논리를 만들어 차단할 수 있습니다. 이렇게 하면 일반적인 경우의 성능에도 영향을 미치지 않습니다.

좋은 생각이야. 또한 프로젝트에서 Jint에 대해 알 필요가 없을 수도 있는 Jint에 대한 종속 가능성을 줄입니다.

이 문제 #523을 돕기 위해 풀 리퀘스트를 발행했습니다.

JsValue.FromObject 메소드가 Syste.Type 를 TypeReference 로 변환하기 때문에 이것은 문제가 되지 않습니다.

따라서 일반 리플렉션을 사용할 수 없으며 이미 알려진 유형만 사용할 수 있습니다.

IObjectConverter 를 추가하여 특정 유형을 허용하지 않을 수도 있습니다.

ObjectWrapper.cs에서 DeclaredOnly에 대한 BindingFlag를 추가하도록 84행을 변경했으며 "GetHashCode" 및 "GetType"에 대한 호출을 차단하는 것으로 보입니다.

            // if no properties were found then look for a method (edited)
            var methods = type.GetMethods(BindingFlags.DeclaredOnly | BindingFlags.Static | BindingFlags.Instance | BindingFlags.Public)
                .Where(m => EqualsIgnoreCasing(m.Name, propertyName))
                .ToArray();

글쎄, 나는 반대로 묻습니다. GetType을 어떻게 활성화합니까? 나를 위해 항상 null을 반환하기 때문입니다. GetMethod 기능이 필요합니다.