首页 文章

Java applet - LiveConnect安全警告弹出窗口

提问于
浏览
3

即使applet已签名,并且设置了Caller-Allowable-Codebase属性,我们也会在应用程序中遇到LiveConnect安全警告:

pop-up

第二个问题是在IE,FF和Chrome中将Application和Publisher字段设置为UNKNOWN . 显示的第一个安全信息似乎从证书中获取信息 .

enter image description here

我的清单文件:

Manifest-Version: 1.0
Implementation-Vendor: xxx xxx Buildings AB
Implementation-version: 1.5.0.49829
Application-Library-Allowable-Codebase: *
Application-Name: Building Operation WebStation
Permissions: all-permissions
Created-By: 1.7.0 (Sun Microsystems Inc.)
Caller-Allowable-Codebase: *
Specification-Version: 1.0
Codebase: *

我阅读了关于security changes with LiveConnect的Oracle博客文章 .

我还尝试添加Application-Library-Allowable-Codebase:*属性但没有成功 . 它似乎在security attributes guide中没有任何区别 .

选中该复选框不会执行任何操作,下次导航到applet时,警告将再次弹出 .

jarsigner.exe输出“jar verified” .

检查我们签署的证书显示整个链 - 我们的公司> RapidSSL CA> GeoTrust Global CA.我已将证书导入多个Windows证书存储区,即使只是由受信任的根CA签名也应该足够了 .

我们正在测试最新的JRE,我们使用JRE 8 Java插件10.67.2.01获得相同的结果使用JRE版本1.7.0_67-b01 Java HotSpot(TM)客户端VM

有人知道吗

  • 如何在仍然允许LiveConnect调用的情况下摆脱弹出窗口?

  • 如果没有,如何填充对话框中的两个UNKNOWN字段?

java security applet liveconnect

1 回答

  • 4

    您获得第一个弹出窗口(LiveConnect警告)的原因是因为您使用了 * 的通配符 *

    Caller-Allowable-Codebase: *

    您可能需要将 * 替换为 the domain name or IP address where the javascript files are located .

    您可能还需要执行与 codebase 属性类似的操作 .

    有关此属性的更多信息,请参见Codebase Attribute .

    Caller-Allowable-Codebase属性

    有关允许的值的说明,请参阅代码库属性 . 如果将单独的星号(*)指定为Caller-Allowable-Codebase属性的值,则从JavaScript代码到RIA的调用会显示安全警告,用户可以选择允许呼叫或阻止呼叫 . 还提供了记住选项的选项,如果选择此选项,则在启动RIA时不再显示警告 .

    来源Caller-Allowable-Codebase Attribute

    Java applet清单 - 允许所有Caller-Allowable-Codebase

    删除Trusted-Library属性似乎必须使Caller-Allowable-Codebase正常工作,不再需要警告 . 但是,如果签名的JAR文件没有使用Trusted-Library = true属性标记,则会破坏Java 7 Update 21 - 40,它会处理调用带有所有权限的已签名applet中的代码的JavaScript代码,因为会出现混合代码和警告对话框 .

    来源Java applet manifest - Allow all Caller-Allowable-Codebase,回答Nikolas Pooch

    回复于

相关问题