如Java™ SE Development Kit 7, Update 25 (JDK 7u25)中所述,如果使用Java Web Start部署的应用程序的清单文件没有Preventing RIAs from Being Repurposed中描述的权限和代码库属性,则会在控制台中打印警告 .
对于我的JAR,添加属性是微不足道的;对于没有经过数字签名的第三方 jar 来说,这甚至是微不足道的:修改清单和标志(与我的JAR相同) . 如果我有第三方数字签名的 jar 怎么办?似乎整个清单文件的哈希值在验证过程中使用,因此可能无法修改清单而不会使使用jarsigner—JAR Signing and Verification Tool应用的签名无效 .
这是正确的吗?有什么解决方案吗?
1 回答
我为此目的做了一个小 Ant 脚本 . 这个想法很简单:
每个 jar
提取临时目录中的内容
re-jar不包括* .RSA和* .SF文件(也添加权限)
使用我自己的证书签名