3

即使小程序已签名,并且设置了 Caller-Allowable-Codebase 属性,我们的应用程序仍会遇到 LiveConnect 安全警告:

弹出

第二个问题是在 IE、FF 和 Chrome 中 Application 和 Publisher 字段设置为 UNKNOWN。显示的第一个安全信息似乎从证书中获取信息。

在此处输入图像描述

我的清单文件:

Manifest-Version: 1.0
Implementation-Vendor: xxx xxx Buildings AB
Implementation-version: 1.5.0.49829
Application-Library-Allowable-Codebase: *
Application-Name: Building Operation WebStation
Permissions: all-permissions
Created-By: 1.7.0 (Sun Microsystems Inc.)
Caller-Allowable-Codebase: *
Specification-Version: 1.0
Codebase: *

我阅读了有关LiveConnect 的安全更改的 Oracle 博客文章。

我也尝试添加 Application-Library-Allowable-Codebase: * 属性但没有成功。它甚至在安全属性指南中似乎没有任何区别。

选中该复选框没有任何作用,下次我们导航到小程序时,警告将再次弹出。

jarsigner.exe 输出“jar 验证”。

检查我们签署的证书会显示整个链 - 我们的公司 > RapidSSL CA > GeoTrust Global CA。我已将证书导入到多个 Windows 证书存储区,即使仅由受信任的根 CA 签名就足够了。

我们正在对最新的 JRE 进行测试,并且使用 JRE 8 Java 插件 10.67.2.01 使用 JRE 版本 1.7.0_67-b01 Java HotSpot(TM) 客户端 VM 得到相同的结果

有人知道吗

  1. 如何在仍然允许 LiveConnect 通话的同时摆脱弹出窗口?
  2. 如果没有,如何填充对话框中的两个 UNKNOWN 字段?
4

1 回答 1

4

您收到第一个弹出窗口(LiveConnect 警告)的原因是您使用了*通配符Caller-Allowable-Codebase

Caller-Allowable-Codebase: *

您可能需要将 替换为*javascript文件所在的域名或 IP 地址

您可能还需要对codebase属性执行类似的操作。

有关此属性的更多信息,请参阅代码库属性。

Caller-Allowable-Codebase 属性

有关允许的值的描述,请参阅代码库属性。如果将独立星号 (*)指定为 Caller-Allowable-Codebase 属性的值,则从 JavaScript 代码到 RIA 的调用会显示安全警告,并且用户可以选择允许调用或阻止调用。还提供了记住选择的选项,如果选中,启动 RIA 时将不再显示警告。

Source Caller-Allowable-Codebase 属性

Java 小程序清单 - 允许所有 Caller-Allowable-Codebase

要使 Caller-Allowable-Codebase 正常工作,似乎必须删除 Trusted-Library 属性,不再发出警告。但是,这破坏了 Java 7 更新 21 - 40,它将调用以所有权限运行的签名小程序中的代码的 JavaScript 代码视为混合代码,如果签名的 JAR 文件未使用 Trusted-Library=true 属性标记,则会引发警告对话框。

Java 小程序清单 - 允许所有 Caller-Allowable-Codebase,由Nikolas Pooch回答

于 2014-08-15T14:46:00.613 回答