Câu hỏi tuyệt vời. Trớ trêu thay, chính chức năng này đã được phơi bày trong Microsoft JVM cũ hơn (10 năm trước).
Kiểm soát Java trong Internet Explorer
https://bloss.msdn.com/b/ieiternals/archive/2011/05/15/controlling-java-in-iNET-explorer.aspx
Gần đây, đã có một số quan tâm về cách kiểm soát việc sử dụng Java trong Internet Explorer. Java là một hình thức mở rộng duy nhất bởi vì nó có thể được gọi theo hai cách:
- Sử dụng phần tử ỨNG DỤNG
- Sử dụng phần tử ĐỐI TƯỢNG với CLSID của JVM
Hai phương thức gọi này chịu sự kiểm soát bảo mật khác nhau, mà tôi sẽ mô tả trong bài viết hôm nay.
Kiểm soát thẻ Applet
Khi Internet Explorer gặp thẻ ỨNG DỤNG, nó sẽ kiểm tra giá trị URLACTION_JAVA_PERMISSIONS để xác định xem có nên nạp ỨNG DỤNG không. Nếu giá trị là URL_POLICY_JAVA_PROHIBIT, thì thẻ ỨNG DỤNG bị ngăn không tải JVM. Trong các phiên bản trước của Internet Explorer, khi Microsoft JVM có sẵn, URLAction này đã được hiển thị trên hộp thoại Công cụ> Tùy chọn Internet> Bảo mật> Tùy chỉnh, nhưng nó đã bị xóa.
Bạn có thể sử dụng Trình chỉnh sửa chính sách nhóm để kiểm soát URLAction trong nút \ Mẫu quản trị \ Thành phần Windows \ Internet Explorer \ Bảng điều khiển Internet \ Trang bảo mật \ ZoneID:
Ngoài ra, bạn có thể thực hiện một chỉnh sửa sổ đăng ký nhỏ để thêm mục Tùy chọn JVM trở lại Bảng điều khiển Internet:
Kịch bản đăng ký lợi dụng thực tế là giao diện người dùng Bảng điều khiển Internet có thể mở rộng thông qua sổ đăng ký; nó chỉ đơn giản là tạo một mục mới điều chỉnh các giá trị của URLACTION_JAVA_PERMISSIONS URLAction.
Nếu bạn điều chỉnh cài đặt Vùng Internet từ Bảo mật cao Bảo mật để Vô hiệu hóa (URL_POLICY_JAVA_PROHIBIT), bất kỳ trang web nào đang cố sử dụng thẻ ỨNG DỤNG sẽ thấy rằng applet không tải và thông báo được hiển thị:
Kiểm soát các thẻ đối tượng
Thật không may, khi một trang web sử dụng thẻ OBOG để tải Java, một bộ mã hoàn toàn khác được thực thi. Trong trường hợp thẻ ĐỐI TƯỢNG, URLAction JAVA_PERMISSIONS không được tham khảo, vì theo như Internet Explorer có liên quan, đây có thể là bất kỳ loại ĐỐI TƯỢNG nào. Thay vào đó, các tính năng kiểm soát ActiveX truyền thống được tư vấn (ví dụ: Lọc ActiveX, ActiveX trên trang web, Quản lý tiện ích bổ sung, v.v.). Bạn có thể sử dụng Công cụ của IE> Quản lý tính năng bổ trợ để kiểm tra hoặc điều chỉnh trạng thái của đối tượng Trình cắm Java:
Lưu ý: Tôi được thông báo rằng không nên vô hiệu hóa đối tượng Trình trợ giúp trình duyệt SSV Trình cắm trình cắm Java, vì nó đảm bảo rằng các trang web không thể tải các phiên bản JVM cũ hơn (không an toàn) mà bạn có thể đã cài đặt. Tuy nhiên, bạn sẽ nhận thấy rằng bạn phải trả tiền phạt hiệu suất khi khởi động tab để tải BHOIP này, đây là một trong nhiều lý do tôi không cài đặt Java trên PC.
Nếu bạn chọn Trình cắm Java, bạn có thể nhấp vào nút Tắt để ngăn Java được tải bởi thẻ OBOG. Ngoài ra, nếu bạn nhấp vào liên kết Thông tin khác , bạn có thể xóa * khỏi danh sách các trang web mà Trình cắm Java có thể chạy:
Nếu sau đó bạn truy cập một trang web cố gắng gọi Java dưới dạng thẻ OBOG, bạn sẽ thấy một thanh thông báo nhắc bạn cho phép chạy Java trên trang web hiện tại.
Vì vậy, nếu bạn muốn cho phép Java chỉ chạy trong các vùng Intranet và Trusted Site:
- Điều chỉnh URLAction cho Vùng Internet thành Vô hiệu hóa
- Xóa * khỏi danh sách Per-Site của Điều khiển ActiveX
Bước # 1 sẽ đảm bảo rằng chỉ các trang web Intranet Zone và Trusted Zone mới có thể tải Java cho các Thẻ ỨNG DỤNG. Bước # 2 sẽ đảm bảo rằng Trình cắm Java sẽ không tải dưới dạng ĐỐI TƯỢNG trên các trang web của Vùng Internet; một thông báo sẽ được hiển thị thay thế. Vì Intranet và Trang web đáng tin cậy bỏ qua danh sách ActiveX trên mỗi trang web, bạn sẽ không thấy bất kỳ cảnh báo bổ sung nào trên các trang web đó.