0

我的客户想要使用小程序从浏览器中拖放文件传输。大多数情况下,我们的一切工作正常,但是.java.policy授予 applet 文件系统访问权限的文件需要上传到每个客户端,以便 applet 有权读取/写入文件系统。

我在客户的技术伙伴刚刚做了一些研究,希望我研究一下java 部署工具包(一个负责部署而不是使用 html 标签的 js 库)。他想让我看看我是否可以将小程序配置为使用从 URL 请求的策略文件。我无法找到如何做到这一点,这是我所期望的,因为我认为这将是一个可怕的安全风险。

问题是他们需要能够授予小程序读/写文件系统访问权限,但我觉得从 URL 请求策略文件是个坏主意,我需要帮助解释原因。

所以这就是我的问题:是否可以.java.policy从 URL 请求文件?如果是这样,那不是一个可怕的安全风险吗?

4

1 回答 1

1

所以这就是我的问题:是否可以.java.policy从 URL 请求文件?

是的,但不是以任何实际的方式。事情是:

  1. 策略文件需要位于本地文件系统上的某个位置才能工作。
  2. 任何 Java 应用程序。或小程序需要信任才能将其放置在那里,甚至找出正确的位置。
  • 一个 Java 应用程序。需要扩展权限才能将策略文件导入到将产生影响的位置。
  • 如果是 Java 应用程序。具有插入策略文件的权限,它已被信任。

如果是这样,那不是一个可怕的安全风险吗?

是的,会的。

如果此小程序需要信任,请对其进行数字签名

附录

有关详细信息,请参阅Java 7 Update 21 安全改进的详细信息。关于日益严格的 Java 安全环境。

显然计划将未来的 JRE 默认设置为最大安全性。这意味着默认情况下,只有 Jar 中的类,由证书颁发机构颁发的证书进行数字签名(例如 Comodo 180 美元/年,Thawte 300 美元/年)才能运行。其他一切都会被拒绝。

于 2013-05-24T02:00:15.000 回答