iOS开发沙盒

本文详细介绍了iOS中的沙盒机制,解释了其如何限制应用程序访问特定文件夹,并提供了获取不同目录及读写文件的示例代码。此外,还列举了一些绕过沙盒限制的实际案例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  iOS中的沙盒机制(SandBox)是一种安全体系,它规定了应用程序只能在为该应用创建的文件夹内读取文件,不可以访问其他地方的内容。所有的非代码文件都保存在这个地方,比如图片、声音、属性列表和文本文件等。

  沙盒特点:

 1.每个应用程序都在自己的沙盒内

 2.不能随意跨越自己的沙盒去访问别的应用程序沙盒的内容

 3.应用程序向外请求或接收数据都需要经过权限认证

 一个沙盒中包含了四个部分,如图所示:

Documents:苹果建议将程序中创建的或在程序中浏览到的文件数据保存在该目录下,iTunes备份和恢复的时候会包括此目录;

Library:存储程序的默认设置或其它状态信息;Library/Caches:存放缓存文件,iTunes不会备份此目录,此目录下文件不会在应用退出删除;

tmp:创建和存放临时文件的地方。

下面通过代码来获取这些目录:

//获取根目录
    NSString *homePath = NSHomeDirectory();
    NSLog(@"Home目录:%@",homePath);
    
    //获取Documents文件夹目录,第一个参数是说明获取Doucments文件夹目录,第二个参数说明是在当前应用沙盒中获取,所有应用沙盒目录组成一个数组结构的数据存放
    NSArray *docPath = NSSearchPathForDirectoriesInDomains(NSDocumentDirectory,NSUserDomainMask, YES);
    NSString *documentsPath = [docPath objectAtIndex:0];
    NSLog(@"Documents目录:%@",documentsPath);
    
    //获取Cache目录
    NSArray *cacPath = NSSearchPathForDirectoriesInDomains(NSCachesDirectory, NSUserDomainMask, YES);
    NSString *cachePath = [cacPath objectAtIndex:0];
    NSLog(@"Cache目录:%@",cachePath);
    
    //Library目录
    NSArray *libsPath = NSSearchPathForDirectoriesInDomains(NSLibraryDirectory, NSUserDomainMask, YES);
    NSString *libPath = [libsPath objectAtIndex:0];
    NSLog(@"Library目录:%@",libPath);

    //temp目录
    NSString *tempPath = NSTemporaryDirectory();
    NSLog(@"temp目录:%@",tempPath);

下面开始向目录里面创建文件,然后向文件里面写入内容:

    //写入文件
    NSArray *docPath = NSSearchPathForDirectoriesInDomains(NSDocumentDirectory, NSUserDomainMask, YES);
    NSString *documentsPath = [docPath objectAtIndex:0];
    if (!documentsPath) {
        NSLog(@"目录未找到");
    } else {
        NSString *filePaht = [documentsPath stringByAppendingPathComponent:@"test.txt"];
        NSString *contents = @"I write 内容";
        [contents writeToFile:filePaht atomically:YES encoding:NSUTF8StringEncoding error:nil];
    }

创建成功后打开文件夹目录,可以看到test.txt文件:


接下来是把该文件中的内容读出来:

    //读取文件
    NSArray *docPath = NSSearchPathForDirectoriesInDomains(NSDocumentDirectory,NSUserDomainMask, YES);
    NSString *documentsPath = [docPath objectAtIndex:0];
    NSString *readPath = [documentsPath stringByAppendingPathComponent:@"test.txt"];
    NSString *fileContent = [[NSString alloc] initWithContentsOfFile:readPath encoding:NSUTF8StringEncoding error:nil];
    NSLog(@"文件内容:%@",fileContent);

输出结果如下:



越过 iOS 沙盒机制的几个例子

开发如果要访问到其他 App 的范围,必须要获取管理员许可才行,比如地理位置,相册,通讯录,话筒等。这是苹果系统的哲学,苹果认为只有把各个 App 孤立起来才能营造良好的用户体验和安全性。随着智能机使用习惯的成熟,越来越多的用户已经不满足单个 App 了,很想有各个 App 联动使用的体验,技术上已经被封死了,那怎么办呢?接下来就看机智的程序员们是如何越过 iOS 沙盒机制的。

如何在锁屏界面显示歌词?

从技术上来说,锁屏界面上显示歌词是不可能完成的,但这绝对难不倒机智的产品汪。利用锁屏界面的封面图片,为每一句歌词生成一张图片,根据歌曲的时间轴,不间断的给你一次又一次的换壁纸...这个伟大的创新来自伟大的 QQ 音乐,据说这个功能的设计师还获得了腾讯内部的设计大奖——当然现在几乎每个音乐 App 都有这样的功能。想着一遍又一遍被强奸的封面壁纸,吓得我赶紧把这个功能给关闭了。


如何显示农历?

大家都知道 iPhone 原生日历 App 是不能显示农历的,为什么下了某些软件之后突然就可以显示农历了?产品汪们仍然会另辟蹊径,获取日历的读写权限,然后给每一天都重新覆盖一个事件,事件名就是农历...

如何显示骚扰号码?

骚扰电话对没有越狱的 iPhone 用户一直是个很大的困扰,曾经有一段时间还被拿着小米的同事嘲讽,说小米的电话黄页多么好用。这里不得不提到搜狗号码通了,知道它使怎么做到的吗?相信聪明的你应该已经有预感了。

获取通讯录的读写权限,然后在你不知情的情况下暴力写入成千上万个骚扰号码,会以用户名 haomax (x是数字,如1,2,3,)来保存骚扰号码。搜狗号码通……


然后给每个用户名配上上图的头像加标签,就搞定了。第一版没优化好的时候,有很多手贱人的点进用户名 haomax 而导致手机卡死,因为数据流实在太大了,里面真的又无数个号码!!!
如何清理系统缓存?

很大应用都会产生缓存,缓存一多,势必会造成应用运行缓慢,但指望用户自己主动去点击清理缓存太不现实了,用户只会觉得这应用太垃圾了,去用竞争对手的吧。产品经理又上场了,利用 iOS 7 之后的系统特性(当空间不足时自动清理缓存)。生成大量冗余文件,快速占用系统空间,触发系统进行清理...  未完待更,还在搜集更多好玩的案例。搜索过 Quora, google, stackoverflow, 美国程序员更多的探讨沙盒机制本身的漏洞,以及如何利用技术去 hack ,东西方的产品哲学还真是有意思呢。


参考了一些链接,欢迎大家指点。

Git@OSC地址:https://git.oschina.net/igd/SandBox.git

### 运行机制 vs 虚拟机运行机制 #### 的工作原理 是一种轻量级的隔离环境,通过限制程序的行为来保护主机系统的安全。它通常在操作系统层面实现,对应用程序的访问权限进行控制,例如禁止直接访问文件系统、网络资源或其他敏感操作[^1]。这种机制允许应用在一个受限环境中运行,从而防止潜在恶意代码对主系统造成损害。 技术的一个典型例子是VirtualApp,它能够创建一个虚拟空间,在其中运行的应用程序并不直接与真实系统交互。而是通过对Binder代理对象的替换和拦截,使得这些应用调用的服务都是经过包装后的版本,以此达到隔离的目的[^3]。 #### 虚拟机的工作原理 虚拟机(VM)则提供了一个更为彻底的隔离方案。它是基于硬件辅助虚拟化技术构建的,可以模拟出完整的计算机系统,包括处理器、内存以及各种外围设备等。每个虚拟机都有自己的操作系统实例,并且这个操作系统认为自己是在独立的物理机器上运行。由于这种完全隔离的特点,虚拟机能为用户提供更高级别的安全性,同时也支持多种不同的操作系统共存于同一台物理主机之上[^2]。 对于WebAssembly (WASM) 来说,其执行环境也常被描述为一种特殊的虚拟机——尽管实际上它是以软件形式存在的解释器或即时编译器。WASM虚拟机确保了执行过程中的安全性,比如不允许直接访问外部资源如网络连接或本地文件系统;同时为了防止无限循环等问题,还引入了燃料(Gas)机制加上超时机制双重控制手段[^1]。 #### 与虚拟机的区别 从本质上讲,两者的主要区别在于隔离程度的不同。虚拟机提供了更强的隔离性,因为它不仅限定了程序能做什么,而且还在逻辑上将整个操作系统隔离开来。相比之下,更多地关注于限制特定进程的能力而不改变它们所处的操作系统环境。因此,在性能开销方面,一般而言比虚拟机会更低一些,因为不需要额外维护一套完整的OS层。 此外,部署复杂度也是考量因素之一。设置一个新的虚拟机需要安装相应的操作系统镜像并配置好相关服务,而往往只需要简单的规则定义即可启用。这使得特别适合那些希望快速启动并且不需要极高隔离级别的场景使用。 最后值得注意的是,虽然传统意义上的可能缺乏像虚拟机那样强大的跨平台兼容能力,但随着诸如WebAssembly这样的新技术出现,我们已经看到了能够在不同平台上高效运行的新一代解决方案[^4]。 ```python # 示例:如何利用Python创建基础的安全 import os from subprocess import Popen, PIPE def run_in_sandbox(command): # 使用subprocess模块执行命令,并捕获输出 process = Popen(command, stdout=PIPE, stderr=PIPE) stdout, stderr = process.communicate() return stdout.decode(), stderr.decode() # 测试函数 output, error = run_in_sandbox(['echo', 'Hello from sandbox!']) print('Output:', output) if error: print('Error:', error) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值