![](/img/trans.png)
[英]Running Java Security Manager without the default java.policy file
[英]requesting a .java.policy file from URL security risk
我的客戶希望使用applet從瀏覽器中拖放文件傳輸。 我們已經完成了大部分工作,但是授予applet文件系統訪問權限的.java.policy
文件需要上載到每個客戶端,以便applet有權讀取/寫入文件系統。
我在客戶端的技術人員剛剛進行了一些研究,希望我研究一下Java部署工具箱 (一個負責部署而不是使用html標記的js庫)。 他想讓我看看是否可以配置小程序以使用URL請求的策略文件。 我一直沒有找到如何做到這一點,這正是我所期望的,因為我認為這將帶來嚴重的安全風險。
麻煩在於,他們需要能夠授予applet讀/寫文件系統訪問權限,但是我覺得從URL請求策略文件是一個壞主意,我需要幫助來解釋原因。
所以這是我的問題:是否有可能從URL請求.java.policy
文件? 如果是這樣,那不是可怕的安全風險嗎?
所以這是我的問題:是否有可能從URL請求
.java.policy
文件?
是的,但不是任何可行的方式。 事情是:
如果是這樣,那不是可怕的安全風險嗎?
是的,會的。
如果此小程序需要信任,請對其進行數字簽名 。
有關更多信息,請參見Java 7 Update 21安全性改進 。 日益嚴格的Java安全環境。
顯然計划將將來的JRE默認設置為最大安全性。 這意味着默認情況下,只有Jar中的類可以運行,該類由證書頒發機構頒發的證書進行數字簽名(例如Comodo $ 180 /年,Thawte $ 300 /年)。 其他一切都會被拒絕。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.