我需要向自签名小程序授予一些权限。如果用户不编辑他的 .java.policy 文件,这是否可能?我在考虑小程序标记中的一些内容,因为在 JavaWebStart 中,只需通过向 jnlp 文件添加安全标记即可授予应用程序权限。
也在这里Java Applet Permissions它指出 “从 JavaScript 调用的小程序方法没有权限,即使您在策略文件中明确授予它们” 这是设计使然吗...我有点不明白这样做的合理性!?
最佳答案
按照设计,小程序是在高度受控且隔离的环境中执行的。显然,重点是防止恶意代码在客户端计算机上执行。如果您可以在小程序标签中指定权限设置,那么任何安全性都将变得毫无意义,因为您(开发人员)仍然可以完全控制小程序在客户端浏览器中运行后可以执行的操作。
JavaScript 限制的基本原理是相同的。您不应该能够通过 JavaScript 利用第三方小程序中的安全漏洞,该小程序应始终保留在其受控的“沙箱”中。
关于java - 小程序可以从小程序标签授予权限吗,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7914186/