從URL安全風險中請求.java.policy文件

Question

我的客戶希望使用applet從瀏覽器中拖放文件傳輸。 我們已經完成了大部分工作，但是授予applet文件系統訪問權限的.java.policy文件需要上載到每個客戶端，以便applet有權讀取/寫入文件系統。

我在客戶端的技術人員剛剛進行了一些研究，希望我研究一下Java部署工具箱 （一個負責部署而不是使用html標記的js庫）。 他想讓我看看是否可以配置小程序以使用URL請求的策略文件。 我一直沒有找到如何做到這一點，這正是我所期望的，因為我認為這將帶來嚴重的安全風險。

麻煩在於，他們需要能夠授予applet讀/寫文件系統訪問權限，但是我覺得從URL請求策略文件是一個壞主意，我需要幫助來解釋原因。

所以這是我的問題：是否有可能從URL請求.java.policy文件？ 如果是這樣，那不是可怕的安全風險嗎？

Answer 1

所以這是我的問題：是否有可能從URL請求.java.policy文件？

是的，但不是任何可行的方式。 事情是：

1. 為了起作用，策略文件必須位於本地文件系統上的特定位置。
2. 任何Java應用程序。 或applet需要信任才能將其放置在此處，甚至找出正確的位置。

---

• 一個Java應用程序。 需要擴展的權限才能將策略文件導入將對其產生影響的位置。
• 如果是Java應用程序。 擁有插入策略文件的權限，該文件已被信任。

如果是這樣，那不是可怕的安全風險嗎？

是的，會的。

如果此小程序需要信任，請對其進行數字簽名 。

附錄

有關更多信息，請參見Java 7 Update 21安全性改進 。 日益嚴格的Java安全環境。

顯然計划將將來的JRE默認設置為最大安全性。 這意味着默認情況下，只有Jar中的類可以運行，該類由證書頒發機構頒發的證書進行數字簽名（例如Comodo $ 180 /年，Thawte $ 300 /年）。 其他一切都會被拒絕。