在我的Mac OS X应用程序中,我使用嵌入式WebView为不同的服务执行OAuth登录。他们中的大多数使用HTTPS请求来获取WebView中显示的授权表单。
现在,只要连接安全,我就需要在Safari中显示一个小锁。单击该锁定应打开SFCertificatePanel,显示用于该请求的证书。
可以在WebView for OS X中完成吗?我检查了所有代表,但没有找到发送给他们的可用消息来显示该锁图标或获取证书。
感谢您的帮助!
答案 0 :(得分:0)
这听起来对我来说是一个非常可疑的想法。考虑到可能的用户行为和用户理解(例如,用户对安全性的心理模型),我怀疑它在实践中不安全。
这是核心问题。您的应用程序窗口中没有地方可以显示用户可以信任的锁定,并且用户会理解并知道这些锁定是无法使用的,并且用户知道要集中注意力。恶意网站在其页面上包含锁定图标的图像太容易了,这可能会让用户误以为HTTPS实际上没有使用过。恶意网站甚至可以使图标可点击,如果用户点击它,则会弹出欺骗性证书信息。大多数用户都没有希望发现这种攻击。
相反,如果您知道特定网站需要使用HTTPS,我建议您使用https://网址加载原始网址。由于您指定了要在WebView中加载的URL,因此您知道它将使用SSL。据我所知,这是现实的,你可以在你的应用程序中做到最好。至少,考虑到这里指定的问题描述,我想不出更好的事情。