IE浏览器中如何安全地调用本地可执行程序

一般，浏览器中是禁止运行本地可执行程序的。但不容许浏览器运行，客观上限制了浏览器的用途和做用。要解决此问题，必须安全扩展浏览器的功能。扩充浏览器的功能，一是采用控件或插件技术，二是采用小程序技术。市场上的主流浏览器，如IR和Netscape均支持这两种技术。控件或插件多用VC、BC++、VB和Delph等语言开发。小程序通常是由，iava语言来编程的。众所周知，java语言经过“砂箱”机制禁止访问本地文件系统，更谈不上调用本地程序运行，要经过浏览器调用本地可执行程序，需使用控件或插件技术。1、安全调用本地程序的要求浏览器中调用本地程序起码要解决两个问题，一是安全性，二是位置透明性。 因为浏览器运行在客户端，安全性很是重要，若是安全性不能解决，运行在浏览器中的恶意控件轻则可能传播病毒、破坏本地文件系统，重则形成计算机系统瘫痪和信息泄密。浏览器中均有默认的安全级别，IE浏览器默认的是中级安全级别。在此安全级别下要让浏览器启动运行本地可执行程序．一早要杷榨件标记为可安全执行的。二是要对控件作数字签名。把控件标记为可安全执行的含义是要在控件中实现必需的Iknown接口外，还要实现“对象安全”接口，这样控件才能与浏览器协调一致的工做。对控件作数字签名就是采用非对称加密算法将散列函数处理后的控件散列值作加密，以保证控件的完整性和不能否认性。若是对控件不作安全标记，也不进行数字签名，要想在本地运行可执行程序，就必须下降浏览器的安全性。浏览器的安全性下降后，对于内部网络彷佛问题不是很大，但要在internet上，那就给病毒、黑客人侵打开了方便之门。除非有充足的理由，通常状况下，决不可随便下降浏览器的安全性。 所谓位置透明性就是运行可执行程序与位置无关，不管其放在何处都能正常运行。位置透明性对写过控件的人并不陌生，Windows中无处不在，控件无一例外都是位置透明的。其解决办法是使用一个128位的clsid来惟一标识。clsid在HTML页面中和系统的注册表中随处可见。在使用控件时，不管是手工仍是系统自动注册都是在注册表中创建clsid和控件路径的映射关系。经过这种映射关系自动解决了位置透明性。 咱们也可经过注册表解决运行程序的位置透明性问题。这里的映射关系可创建成应用程序名和可运行程序路径之间的映射关系。用应用程序名来惟一地标识可执行程序，其至关于控件的cMd，用安装程序来安装可执行程序，至关于控件注册。Windows中经过安装程序安装的可执行程序，其键值均在HKEY_LOCAlMACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼App Paths＼中，用流行的的InstallShield安装软件不难实现。调用本地可执行程序时在注册表中查找其安装路径，结合应用程序名和注册表键值中记录的执行程序路径，便可找到本地可执行程序，原理与控件的动态加载运行彻底一致。2、实现机理 用支持控件的开发工具，如VC、VB等开发一个调用本地可执行程序的控件，可命名为Cyxm—LocalCallCtrl，除了实现必需的Iknown接口外，还要实现IObjectSafety接口，即前面提到的“安全对象”接口。再实现一个调用本地可执行程序的函数，如localCall()，开发完成后对控件作数字签名就可以使用了。1．IObjectSafety接口该接口的核心是如下的两个函数：STDMETHODIMP CYxmLocalCallCtrl：：XObjectSafety：：
GetInterfaceSafetyOptions(
REFIID riid，
DWORD——RPC—FAR*pdwSupportedOptions，
DWORD——RPC—FAR*pdwEnabledOptions
)，
STDMETHODIMP CYxmLocalCallCtrl：：XObjectSafety：：Set—
InterfaceSafetyOptions(
REFIID riid，
DWORD dwOptionSetMask，
DWORD dwEnabledOptions
) 这两个函数只是用对象嵌套的方式实现的一个样例，若是用对象聚合的方式实现它，可能不是这个样子，但接口参数和函数名是不会发生变化的。对这两个函数的编码并不复杂，若是你不须要作什么，其函数体能够不用写任何代码，简单地返回就能够了。之因此写这两个函数是浏览器的要求，其加载控件时，要调用这两个函数，也就是浏览器要求你认可你写的控件是安全地。这是前面所述标记为安全脚本的技术含义。其实IE浏览器支持的接口不少，如IDispatch、IHTML-Document二、IHTMLDocument、IHTMLCollection、I-HTMLFormElement、IHTMLInputTextElement等等。扩充其功能都是经过实现它们完成的。若有些文章中介绍的经过IE浏览器窃取网页中的用户名和密码也是利用这种原理。2．数字签名 对控件作数字签名首先要制做数字证书，数字证书可从数字认证中心申请获得。若是不想付费，而本身的网络又无数字认证中心，可用VC提供的工具来完成。具体作法是，用MakeCert．Exe制做数字证书，用CabArc．Exe制做压缩包，用signcode．exe进行数字签名。完成数字签名后，将控件部署到web中，便可使用。3．使用控件 若是想经过浏览器调用word．exe字处理软件，在页面中插入以下的代码和脚本程序，便可启动。不要忘了容错处理，即系统中未安装可执行程序的状况下，也要保证浏览器流畅运行。