我負責我們的企業應用程序菜單頁(僅限內部網)。它包含許多指向資源(網頁和安裝的應用程序)的鏈接,併爲當前用戶量身定製。如何從現代瀏覽器中啓動可執行文件?
過去,我使用了一個applet來允許已安裝的應用程序直接從瀏覽器啓動。
公司網站正在進行一次改造,我被告知要找到一個不需要任何插件的解決方案。
我第一次嘗試註冊自定義協議處理程序。菜單提供程序包含所有鏈接和應用程序命令的定義,每個用戶都有不同的權限。我可以想象,當爲用戶創建菜單時,命令可以被編碼並添加爲類似custom://base64encodedcommand
的東西。處理程序將解碼命令,執行檢查並執行它。
這適用於IE,FF和Chrome。目前,我們主要使用Windows工作站,它只能在公司內部網中使用。
這是一種可行的方法嗎?有沒有安全問題?
是的 - 一個惡意網站可以通過簡單地將它們重定向到'custom://'+命令來指定客戶端機器執行的任何命令。不要依賴沒有人知道這個協議的事實。總是假設任何攻擊者都比你自己聰明。 – SilverlightFox
@SilverlightFox - 但編碼呢?我在測試階段使用base64,可以輕鬆升級到不同的安全級別。我們也在考慮一個閉環,菜單提供者添加一個在命令執行前被檢查的鍵。試圖找出什麼是太多,什麼是太少.... – paul