我有一个自签名小程序,当用户接受证书时它会获得完全权限。我的小程序只需要套接字(连接/解析)权限。有什么方法可以指定这个,这样用户就不会收到警告说“这个应用程序将拥有完整的权限,并且可以访问你的网络摄像头/麦克风等”.. 而只是得到一个警告说这个应用程序将有套接字权限?
我知道用户可以通过编辑他们的策略文件来手动允许这一点。但 webstart/jnlp 不能向用户询问特定权限,而不仅仅是所有权限?
问问题
771 次
2 回答
3
..不能 webstart/jnlp 向用户询问特定权限,而不仅仅是所有权限?
不,JWS 仅提供了除受信任/all-permissions和沙盒之外的一种安全级别。那个安全级别是j2ee-application-client-permissions。JACP 提供了比沙盒更多的权限,我不确定它是否包含套接字权限。
于 2011-06-20T06:57:08.833 回答
0
我无法想象普通用户会知道套接字权限的含义,更不用说授予它的含义了。
小程序没有受限的权限模型(除了在使用 JNLP 小程序时相当奇怪的“J2EE 客户端”,但这是关于强制标准一致性而不是安全性)。Netscape 模型确实允许选择权限,但这种方法是失败的。
为什么需要联系非同源服务器?你不能使用(记录的)端口转发吗?还是通过 http 并使用有限的crossdomain.xml支持?
于 2011-06-22T09:41:43.657 回答