我正在开发基于GWT的客户端服务器Web应用程序。
应用程序在IIS上安装网站。 当客户端首次浏览到该网站时,他们需要运行本地安装,在客户端计算机上安装本地进程和NPAPI插件。
客户端在IE,Chrome和Firefox等浏览器中运行, 并使用NPAPI插件将消息发送到本地进程。 本地进程用于访问文件系统,注册表等。
为了防止其他网站使用NPAPI插件, 当用户首次登录时,服务器向他发送一个字符串的散列,其中包含该站点的URL +一些其他数据。 NPAPI插件可以访问浏览器的当前URL,也可以创建相同的哈希并比较两者。
由于Chrome即将支持NPAPI插件,我正在尝试使用Chrome扩展程序和本机消息传递主机替换该插件。 扩展名不能限于某个域,因为它可以在许多域中使用。
我试图找出一种方法来阻止其他网站使用扩展程序向本机主机发送邮件但却找不到办法。 有谁知道我怎么能做到这一点?
非常感谢任何建议,谢谢。
答案 0 :(得分:0)
您是否考虑过将扩展程序限制为特定域名,然后让其他域名iframe成为该域名并通过postMessage进行通信?您可以在iframe的JS中拥有域名白名单,并根据该列表验证邮件来源。