如Java™ SE Development Kit 7, Update 25 (JDK 7u25)中所述,如果使用 Java Web Start 部署的应用程序的清单文件不具有防止 RIA 从被重新利用。
对于我的 JAR,添加属性很简单;对于没有数字签名的第三方 jar 来说,这甚至是微不足道的:修改清单并签名(与我的 JAR 相同)。如果我有第三方数字签名的 jar 怎么办?在验证过程中似乎使用了整个清单文件的哈希,因此在不使使用jarsigner—JAR 签名和验证工具应用的签名无效的情况下,可能无法修改清单。
这是正确的吗?有什么解决办法吗?
为此,我制作了一个小蚂蚁脚本。这个想法很简单:
对于每个罐子
<property name="keystore" value="../keystores/store/keystore.jks" />
<property name="storetype" value="jks" />
<property name="storepass" value="password" />
<property name="keypass" value="${storepass}" />
<target name="unsign-all">
<foreach target="_re-jar" param="currentFile" parallel="false">
<path>
<fileset dir="WebContent/dir_contains_jars" casesensitive="yes">
<include name="**/*.jar" />
</fileset>
</path>
</foreach>
<move todir="WebContent/dir_contains_jars" overwrite="true">
<fileset dir="WebContent/dir_contains_jars.tmp" casesensitive="yes">
<include name="**/*.jar" />
</fileset>
</move>
<delete dir="WebContent/dir_contains_jars.tmp" />
</target>
<target name="sign-all">
<apply executable="C:\Program Files\Java\jdk1.7.0_45\bin\jarsigner">
<arg line="-keystore ${keystore} -storetype ${storetype} -storepass ${storepass} -keypass ${keypass}" />
<srcfile />
<arg line="alias_name" />
<fileset dir="WebContent/dir_contains_jars" casesensitive="yes">
<include name="**/*.jar" />
</fileset>
</apply>
</target>
<target name="_re-jar">
<basename property="filename" file="${currentFile}" />
<jar destfile="WebContent/dir_contains_jars.tmp/${filename}">
<zipfileset src="${currentFile}">
<exclude name="META-INF/**.RSA" />
<exclude name="META-INF/**.SF" />
</zipfileset>
<manifest>
<attribute name="Permissions" value="all-permissions" />
<attribute name="Codebase" value="*" />
<attribute name="Application-Name" value="jnlpApplicationName" />
</manifest>
</jar>
</target>