对于新的银行应用程序,我们目前正在讨论安装在客户端PC上用于访问智能卡读卡器的浏览器插件的详细信息。
提出的一个问题是:有没有办法将此插件的使用限制在指定的域列表中?它应该通过提供一些< embed / object> -Tag来阻止任何第三方网站使用该插件。
解决方案应基本上与浏览器无关。 如果需要,它可能包括加密,但只应在插件代码中产生适度的实现开销。
想法,有人吗?
我知道存在名为SiteLock的MS解决方案,但这只是IE。
答案 0 :(得分:0)
您可以将授权域列表硬编码到插件本身。
或者,您可以公开一个Web服务,该服务将提供授权域列表。插件可以在实例化时调用您的Web服务,以确定它是否可以启动。
答案 1 :(得分:0)
我们提出了这个想法:(针对一台服务器进行了描述)
插件带有公钥A.插件创建者向服务器的公钥B发出证书。服务器在HTML页面中启动插件并提供以下参数:
然后插件将启动,首先执行这些检查: