提到 iOS 也许有人听说过一个名词 --- Sandbox。那 Sandbox 到底是一个什么东西?它到底有什么作用?本文将就这些问题做出说明,让我们对 Sandbox 有所了解。
为了方便,IOS App Sandbox 在本文中或被简称为 应用程序沙盒,沙盒 或者 沙箱 等。
在 iOS 系统中(macOS 同样存在),每个应用程序都有一个属于自己的存储空间,用于存储图像、图标、声音、文本、属性列表等,这个存储空间就是 沙盒。
沙盒具有以下几个特点,
- 每个应用程序都有自己的存储空间。
- 应用程序不能翻过自己的围墙去访问别的存储空间的内容。
- 应用程序请求的数据都要通过权限审核,没有授权的访问会被拒绝。
上述特点概括起来就是:因为沙盒的存在,应用程序只能读写自己沙盒的文件,不能访问其他应用程序的沙盒,不能进行程序间通信(除非通过URL Scheme 方法)。
通过下图,能否帮助理解什么是沙盒?沙盒是 IOS 的一种安全体系,应用程序的所有操作都要通过它来执行,最核心点在于沙盒对应用程序执行的各种操作有权限限制。
sandbox
IOS 沙箱被封装在 libsandbox.dylib 静态库中,它为每个进程分配空间和权限配置,使用TrustedBSD API 托管和通信,暗盒负责关闭代码控件,明盒负责打开代码控件。它启用的过程如下,
- sandbox_init 通过
libsandbox.dylib转换为二进制传递给 kernel mac syscall TrustedBSD。 - 将 sandbox_init 的请求发 sandbox.kext 的扩展,扩展为当前进程安装证书,然后返回安装结果。
- 如果安装成功,每次进程的请求,都会被 trusted bsd 发送给 sandbox.kext 去匹配之前安装的证书规则。如果证书不匹配的话,则安装失败。
说实话上述这些内容都会网上资料做的拼凑和整合,其实没有涉猎过 IOS 开发可能真的很难从本质上理解沙箱,待以后有机会深入了解之后再对沙箱原理做深入解读。
END
