小程序的安全问题

Question

我开发了一个小程序。但是当我的浏览器从网络服务器获取它时，它会弹出安全警告。我不想收到这个消息。这意味着小程序应该在没有最终用户许可的情况下运行。我怎样才能做到这一点？我需要对我的小程序进行签名吗？如果是，从哪里可以签名？签字的费用是多少？

Answer 1

您的描述可能涉及许多问题，例如尝试执行需要信任的操作的代码。在本例中，情况听起来并非如此。如果您的未签名代码尝试执行需要信任的操作，则它不会在启动时提示用户，而是在尝试可信操作时提示用户（例如，在以后的 JRE 中进行跨站点访问），或者只是失败并出现 AccessControlException 或相似的。

您的小程序可能使用多个 Jars 并遇到

您的小程序是公开可用的吗？我/我们可以访问它的 URL 是什么？

顺便说一句，如果您的小程序试图突破安全沙箱，它必须是可信的。这意味着代码必须经过数字签名，并由最终用户根据提示进行确定。没有办法解决这个问题。

但它不需要 CA 颁发的代码签名证书。您可以使用 SDK 的工具推出自己的代码签名证书。我有一些小演示。在签名之前编译和构建代码的代码项目。

Answer 2

您需要为自己获取代码签名证书。如果您想避免所有警告，可能是由一些“知名”CA 提供的。证书本身需要花钱，但是一旦拥有它，您就可以使用它来签署任意数量的小程序（您自己进行签名）。