小程序可以从小程序标签授予权限吗

Question

我需要向自签名小程序授予一些权限。如果用户不编辑他的 .java.policy 文件，这是否可能？我在考虑 applet 标记中的一些内容，因为在 JavaWebStart 中，只需通过向 jnlp 文件添加安全标记即可授予应用程序权限。

另外这里 Java Applet Permissions 它指出 “从 JavaScript 调用的小程序方法没有权限，即使您在策略文件中明确授予它们” 这是设计使然吗...我有点看不出它的合理性！？

Answer 1

按照设计，Applet 是在一个非常受控和隔离的环境中执行的。显然，重点是防止恶意代码在客户端计算机上执行。如果您可以在小程序标签中指定权限设置，那么任何安全性都将变得毫无意义，因为您（开发人员）仍然可以完全控制小程序在客户端浏览器中运行后可以执行的操作。

javascript 限制的基本原理是相同的。您不应该能够通过 JavaScript 利用第三方小程序中的安全漏洞，该小程序应始终保留在其受控的“沙箱”中。

Answer 2

您可以通过 JNLP 部署小程序。我认为罐子需要签名。此处的信息： http://docs.oracle.com/javase/tutorial/deployment/目录.html