标签: java command-line properties system
我有一个Java程序,它使用user.home系统属性来获取用户主目录。 该程序不应在命令行上允许user.home属性。如果用户从user.home(java -Duser.home)的命令行传递错误的目录,那么我的程序将有安全漏洞。
user.home
那么如何从命令行限制user.home,它应该只通过程序使用?
答案 0 :(得分:3)
无法保证user.home设置正确。
user.home是从$HOME环境变量初始化的,如果它没有直接传递给JVM。
$HOME
无法阻止用户修改自己的环境。