XPCOM安全问题

Question

我正在使用XPCOM开发一个Firefox插件，我还没有读完所有的文档，但据我所知，插件只是一个通过XPCOM接口提供服务并通过XPCOM接口与浏览器交互的DLL。既然插件本身就是一个本地DLL，那么安全模型是如何工作的呢？它是否依赖于这样一个事实，即用户信任插件不会像OCX控件那样做一些令人讨厌的事情？

我看不出有什么其他的方法可以保证它的安全...在那里吗?

Answer 1

据我所知，在Mozilla-land中，只需要澄清几个定义：

• 插件是用来通过NSAPI呈现内容的东西(想想Flash，PDF，...)并且通常不使用XPCOM
• 扩展是通过XUL和/或XPCOM扩展Mozilla/Firefox的包，其可以包含组件和/或XUL GUI内容。
• 组件是XPCOM服务的提供者，并且可以用Javascript或作为本地共享库/DLL

来编写

所以我猜，你想要做的是一个由组件组成的扩展。

回答你的问题:你是对的，一旦用户安装了一个扩展，他就会同意信任那个扩展。即使它由Javascript代码组成，它也自动拥有比网站Javascript更多的访问权限。

Answer 2

XPCOM似乎不是为插件设计的，而是为应用程序设计的，所以没有对安全性进行建模。