限制浏览器插件使用到特定服务器?

时间:2009-05-27 13:58:38

标签: security browser plugins

对于新的银行应用程序,我们目前正在讨论安装在客户端PC上用于访问智能卡读卡器的浏览器插件的详细信息。

提出的一个问题是:有没有办法将此插件的使用限制在指定的域列表中?它应该通过提供一些< embed / object> -Tag来阻止任何第三方网站使用该插件。

解决方案应基本上与浏览器无关。 如果需要,它可能包括加密,但只应在插件代码中产生适度的实现开销。

想法,有人吗?


我知道存在名为SiteLock的MS解决方案,但这只是IE。

2 个答案:

答案 0 :(得分:0)

您可以将授权域列表硬编码到插件本身。

或者,您可以公开一个Web服务,该服务将提供授权域列表。插件可以在实例化时调用您的Web服务,以确定它是否可以启动。

答案 1 :(得分:0)

我们提出了这个想法:(针对一台服务器进行了描述)

插件带有公钥A.插件创建者向服务器的公钥B发出证书。服务器在HTML页面中启动插件并提供以下参数:

  • 几个alep sepcific参数
  • 证书
  • 数字签名

然后插件将启动,首先执行这些检查:

  • 使用插件
  • 中提供的公钥验证证书
  • 使用证书中的公钥验证签名
  • 如果验证正常则继续,否则终止。