提示用户从浏览器安装ActiveX/.Net类库

Question

我构建了一个 .NET 类库项目，该项目在调用时（从 JavaScript）访问 mshtml.HTMLDocument。自从我将受信任站点的 .NET 配置中的权限更改为具有完全访问权限以来，我的计算机上一切正常。

但对于最终用户，我希望 Internet Explorer 能够像 Windows Update 那样提示他们。

我使用强名称和自动签名证书签署了程序集，并且断言非托管代码 SecurityPermission，但仍然没有询问用户的“黄条”。

有人知道如何触发这个提示吗？谢谢

稍后编辑：更多详细信息： 我将组件嵌入为

如果我像 ，弹出安装权限，但对象实例化失败。

更新：我将我的类设为 COM 类，实现了安全脚本编写，我用它制作了一个 MSI 并将其放入 .CAB 文件中。如果用户在受信任的根中有我的证书，它就会安装，并且它可以工作。

但是，如果它不受信任，它就不起作用（对用户没有任何疑问，只是“..已阻止来自...的以下 activex”。这是否真的意味着我必须将钱投入SSL 证书？！？

Answer 1

我假设您的问题是这样的：您能否强制 IE 提示用户安装（以前未知的）证书，以便使其他签名且安全的 ActiveX 控件能够在页面上运行？ （如果这不是您的问题，请发表评论，我可以修改。）

简短回答：否。您需要花费 $$$ 购买来自受信任机构的代码签名证书。 （据我所知，与常规 SSL 证书不同）

长答案：

从安全角度来看，使用未知证书签名与未签名类似，因为没有可信机构告诉客户端他可以相信该代码。并且IE的默认设置是不允许下载和使用未签名的ActiveX控件的。

如果您尝试做的事情被允许，那么精明的攻击者可以简单地创建一个证书，对其进行签名，从而使用户更容易运行他们的攻击代码。

当然有解决方法，但所有方法都涉及客户端采取行动更改其 IE 设置，或者（在 Intranet 设置中）让管理员推送对客户端设置的更改。

以下是来自 TechNet 的更多信息 (http://technet.microsoft.com /en-us/library/cc505863.aspx）：

Internet Explorer 未配置为
信任证书颁发机构
任何人，包括攻击者，都可以
创建自己的 CA 并颁发
证书。因此，互联网
Explorer 不信任所有 CA
默认。相反，Internet Explorer
仅信任少数公共 CA。
如果证书是由
不受信任的 CA，该网站位于
公共互联网、服务器
管理员应该获得一个
来自受信任 CA 的证书。如果
网站位于您的内联网上，是一个客户端
管理员应该配置
Internet Explorer 信任发行者
加利福尼亚州。