我的客户希望使用applet从浏览器拖放文件传输。我们在大多数情况下都能正常工作,但是需要将授予applet文件系统访问权限的.java.policy文件上传到每个客户端,以便applet具有读/写文件系统的权限。
我的客户端的技术人员刚做了一些研究,并希望我查看java deployment toolkit(一个负责部署而不是使用html标签的js库)。他希望我看看我是否可以配置applet以使用从URL请求的策略文件。我无法找到如何做到这一点,这是我的预期,因为我认为这将是一个可怕的安全风险。
问题是他们需要能够授予applet读/写文件系统访问权限,但我觉得从URL请求策略文件是个坏主意,我需要帮助解释原因。
这就是我的问题:即使可能从URL请求.java.policy文件?如果是这样,那不是一个可怕的安全风险吗?
答案 0 :(得分:1)
这就是我的问题:即使可能从URL请求
.java.policy文件?
是的,但不是任何实际的方式。事情是:
如果是这样,那不是一个可怕的安全风险吗?
是的,会的。
如果此applet需要信任,digitally sign它。
有关详细信息,请参阅Java 7 Update 21 Security Improvements in Detail。在不断收紧的Java安全环境中。
显然,计划将来的JRE默认为最高安全性。这意味着默认情况下,只有Jar中的类,由证书颁发机构颁发的证书(例如Comodo 180美元/年,Thawte 300美元/年)进行数字签名。其他一切都会被拒绝。