Java LiveConnect安全警告弹出

Question

我们正在我们的应用程序中体验LiveConnect安全警告，即使applet已经签名，并且Caller允许的-Codebase属性被设置：

​

​

第二个问题是，在IE、FF和Chrome中，Application和Publisher字段设置为未知字段。显示的第一个安全信息似乎是从证书中获取信息。

​

​

我的舱单档案：

Manifest-Version: 1.0
Implementation-Vendor: xxx xxx Buildings AB
Implementation-version: 1.5.0.49829
Application-Library-Allowable-Codebase: *
Application-Name: Building Operation WebStation
Permissions: all-permissions
Created-By: 1.7.0 (Sun Microsystems Inc.)
Caller-Allowable-Codebase: *
Specification-Version: 1.0
Codebase: *

我读过关于使用LiveConnect进行安全性更改的Oracle文章。

我还尝试添加了Application允许的-Codebase：*属性，但没有成功。这似乎对安全属性指南没有任何影响。

选中复选框不会做任何事情，下次我们导航到applet时，警告将再次弹出。

jarsigner.exe输出"jar验证“。

检查我们签署的证书显示了整个链-我们的公司> RapidSSL CA > GeoTrust全球CA。我已经将证书导入了几个Windows证书存储区，尽管仅由受信任的根CA签名就足够了。

我们正在最新的JRE上进行测试，使用JRE版本1.7.0_67-b01的Java HotSpot(TM)客户端VM，我们在JRE 8 Java插件10.67.2.01上得到了相同的结果。

有人知道吗

1. 如何在仍然允许LiveConnect调用的情况下消除弹出？
2. 如果没有，如何填充对话框中的两个未知字段？

Answer 1

获得第一个弹出窗口( LiveConnect警告)的原因是，您已经为Caller-Allowable-Codebase使用了通配符*

Caller-Allowable-Codebase: *

您可能需要将*替换为，即javascript文件位于的域名或IP地址。

您可能还需要对codebase属性执行类似的操作。

有关此属性的更多信息，请参见Codebase属性。

调用方-允许-代码库属性

有关所允许的值的说明，请参见代码库属性。如果将独立星号(*)指定为Caller允许的-Codebase属性的值，则从JavaScript代码到RIA的调用将显示一个安全警告，用户可以选择允许调用或阻止调用。还提供了一个选项来记住选择，如果被选中，则在启动RIA时不再显示警告。

源调用方-允许-代码库属性

Java清单-允许所有来电者-允许代码库

删除受信任的-Library属性似乎是必需的，以使Caller允许的代码库工作，不再有警告。然而，破坏了Java7Update21-40，它将调用具有所有权限的签名小程序中调用代码的JavaScript代码视为混合代码，如果签名的JAR文件没有使用可信的-Library=true属性标记，则会引发警告对话框。

源Java清单-允许所有来电者-允许代码库，尼古拉斯·普奇的回答