再谈IObjectSafety

最新推荐文章于 2024-02-03 15:39:26 发布
最新推荐文章于 2024-02-03 15:39:26 发布
阅读量2w 收藏 23
点赞数
文章标签: xmlhttprequest 脚本 scripting initialization internet manager
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/optman/article/details/1698070
版权
都说ActiveX危险,那么为什么XmlHttpRequest以及MediaPlayer都是用ActiveX的方式创建的,却没有问题?原来,这是因为这些ActiveX组件都声明自己是脚本安全的,而IE的中级安全设置上,是允许脚本安全的ActiveX创建,并且不予警告的。

IE怎么知道一个插件是脚本安全的?它是通过以下两个办法。一是查询ActiveX组件是否实现了IObjectSafety接口,并且返回脚本安全;二是查询ActiveX组件是否在注册表的Component Category Manager里表明自己实现了CATID_SafeForInitializing和CATID_SafeForScripting。

详情请参见MSDN的文章:

About IObject Safety Extensions for Internet Explorer

Safe Initialization and Scripting for ActiveX Controls

一个ActiveX组件不能随随便便的把自己声明为脚本安全的,万一被人利用了咋办?因为只要在系统中注册了,任何网站都可以使用该ActiveX组件,有可能为做出损害用户利益的事情来。所以,作为一个负责任的开发者,在把自己的ActiveX组件声明为脚本安全以前,一定要再三思考,有没有可能被别人恶意使用?特别是有访问本地资源功能的组件,更要小心,别让人破坏了用户的数据或是窃取了信息。

所以,你一定要看一看这篇MSDN的文章:Designing Secure ActiveX Controls

虽然微软做了以上的防范,但是存在安全隐患。比如为了检查ActiveX组件是否支持IObjectSafety接口,你必须先把ActiveX组件给创建了。在你发现它根本就不支持IObjectSafety之前,相关的Dll就会被加载,初始化代码已经执行。天知道那些ActiveX组件创建后会不会有什么安全隐患,即便没有,也是浪费系统资源的。

下面这篇文章IObjectSafety and Internet Explorer 就提出了一些改进意见,认为应该先检查Component Category Manager里的值,因为这只是静态的检索不需要真正加载ActiveX组件。如果注册表表明其是安全的,再加载和检查IObjectSafety接口。后面这一步是否有点多余?难道是怕有人篡改了注册表?也有可能。因为ActiveX组件是经过数字签名的,所以不可能生加上IObjectSafety接口。所以,需要双重防范。

因此,ActiveX还是带有很多安全隐患的。所以,为了避免麻烦,不要随便浏览不靠谱的网页。

optman
关注
  • 0
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
如何 IObjectSafety 标记 ATL 控件安全初始化
04-30
需要用来获得所需的功能在步骤涉及到 IObjectSafetyImpl 用作您的控件派生的类之一,和重写 GetInterfaceSafetyOptions 和 SetInterfaceSafetyOptions。 这使您实现所需的功能在这种情况下意味着将标记为可安全编写脚本和初始化该控件。 若要将 IObjectSafetyImpl 需要将其添加到您的控件派生的类的列表。 是例如多边形教程中您看到以下: class ATL_NO_VTABLE CPolyCtl : ... public IObjectSafetyImpl // ATL's version of // IObjectSafety { public: BEGIN_COM_MAP(CPolyCtl) ... COM_INTERFACE_ENTRY_IMPL(IObjectSafety) // Tie IObjectSafety // to this COM map END_COM_MAP() STDMETHOD(GetInterfaceSafetyOptions)(REFIID riid, DWORD *pdwSupportedOptions, DWORD *pdwEnabledOptions) { ATLTRACE(_T("CObjectSafetyImpl::GetInterfaceSafetyOptions\n")); if (!pdwSupportedOptions || !pdwEnabledOptions) return E_FAIL; LPUNKNOWN pUnk; if (_InternalQueryInterface (riid, (void**)&pUnk) == E_NOINTERFACE) { // Our object doesn't even support this interface. return E_NOINTERFACE; }else{ // Cleanup after ourselves. pUnk->Release(); pUnk = NULL; } if (riid == IID_IDispatch) { // IDispatch is an interface used for scripting. If your // control supports other IDispatch or Dual interfaces, you // may decide to add them here as well. Client wants to know // if object is safe for scripting. Only indicate safe for // scripting when the interface is safe. *pdwSupportedOptions = INTERFACESAFE_FOR_UNTRUSTED_CALLER; *pdwEnabledOptions = m_dwSafety & INTERFACESAFE_FOR_UNTRUSTED_CALLER; return S_OK; }else if ((riid == IID_IPersistStreamInit) || (riid == IID_IPersistStorage)) { // IID_IPersistStreamInit and IID_IPersistStorage are // interfaces used for Initialization. If your control // supports other Persistence interfaces, you may decide to // add them here as well. Client wants to know if object is // safe for initializing. Only indicate safe for initializing // when the interface is safe. *pdwSupportedOptions = INTERFACESAFE_FOR_UNTRUSTED_DATA; *pdwEnabledOptions = m_dwSafety & INTERFACESAFE_FOR_UNTRUSTED_DATA; return S_OK; }else{ // We are saying that no other interfaces in this control are // safe for initializing or scripting. *pdwSupportedOptions = 0; *pdwEnabledOptions = 0; return E_FAIL; } } STDMETHOD(SetInterfaceSafetyOptions)(REFIID riid, DWORD dwOptionSetMask, DWORD dwEnabledOptions) { ATLTRACE(_T("CObjectSafetyImpl::SetInterfaceSafetyOptions\n")); if (!dwOptionSetMask && !dwEnabledOptions) return E_FAIL; LPUNKNOWN pUnk; if (_InternalQueryInterface (riid, (void**)&pUnk) == E_NOINTERFACE) { // Our object doesn't even support this interface. return E_NOINTERFACE; }else{ // Cleanup after ourselves. pUnk->Release(); pUnk = NULL; } // Store our current safety level to return in // GetInterfaceSafetyOptions m_dwSafety |= dwEnabledOptions & dwOptionSetMask; if ((riid == IID_IDispatch) && (m_dwSafety & INTERFACESAFE_FOR_UNTRUSTED_CALLER)) { // Client wants us to disable any functionality that would // make the control unsafe for scripting. The same applies to // any other IDispatch or Dual interfaces your control may // support. Because our control is safe for scripting by // default we just return S_OK. return S_OK; }else if (((riid == IID_IPersistStreamInit) || (riid == IID_IPersistStorage)) && (m_dwSafety & INTERFACESAFE_FOR_UNTRUSTED_DATA)) { // Client wants us to make the control safe for initializing // from persistent data. For these interfaces, this control // is safe so we return S_OK. For Any interfaces that are not // safe, we would return E_FAIL. return S_OK; }else{ // This control doesn't allow Initialization or Scripting // from any other interfaces so return E_FAIL. return E_FAIL; } } ... } ATL 3.0 中, IObjectSafetyImpl 的实现已更改,使您现在可以作为模板参数提供安全选项。 例如,上述类的声明将显示为 class ATL_NO_VTABLE CPolyCtl : ... public IObjectSafetyImpl { public: BEGIN_COM_MAP(CPolyCtl) ... ,您将不必重写两个方法。 有关其他信息,单击下面,文章编号,以查看 Microsoft 知识库中相应: 192093 PRB: 编译器错误时移植到 ATL 3.0 IObjectSafetyImpl
VC com开发中实现IObjectSafety
编程小战
10-10 1051
 打开工程名Ctl.h 搜索class C工程名Ctrl : public COleControl 在其上面添加 #include 搜索DECLARE_DYNCREATE(C工程名Ctrl) 下面添加 DECLARE_INTERFACE_MAP() BEGIN_INTERFACE_PART(ObjSafe, IObjectSafety) STDMETHOD_(H
未定义基类问题解决
多看多听多总结
02-03 248
基类A, 子类B。
IObjectSafety (Interfaces)
加菲猫的快乐生活--我的理想
07-24 675
 SummaryIObjectSafety is used to mark ActiveX Controls safe for scripting. C# Definition:[ComImport, GuidAttribute("CB5BDC81-93C1-11CF-8F20-00805F2CD064")][InterfaceTypeAttribute(ComInterfaceT
IObjectSafety接口
QustDong的专栏
04-24 1399
都说ActiveX危险,那么为什么XmlHttpRequest以及MediaPlayer都是用ActiveX的方式创建的,却没有问题?原来,这是因为这些ActiveX组件都声明自己是脚本安全的,而IE的中级安全设置上,是允许脚本安全的ActiveX创建,并且不予警告的。IE怎么知道一个插件是脚本安全的?它是通过以下两个办法。一是查询ActiveX组件是否实现了IObjectSafety接口,并且返
VB控件实现IObjectSafety安全接口
pyluyuan的专栏
11-15 507
<br />VB控件实现IObjectSafety安全接口(zt) 本文叙述了如何在VB中实现控件的IobjectSafety接口,<br /><br />以标志该控件是脚本安全和初始化安全的。<br />VB控件默认的处理方式是在注册表中注册组件类来标识其安全性,<br />但实现IobjectSafety接口是更好的方法。<br />本文包括了实现过程中所需的所有代码。<br />1、将以下文本复制到记事本, 并作为 objsafe.odl 项目文件夹以保存文件:<br />             
添加IObjectSafety接口使MFC写的OCX可信
smilingc_开发小记
07-07 1373
OCX控件在IE下使用弹出安全问题的解决是添加IObjectSafety接口及实现。我的环境是VS2013,找了很久没有找到IObjectSafety需要添加哪些代码,这篇代码很详细。
必须要实现IObjectSafety接口,把ActiveX控件标记为安全的ActiveX控件,可以不这样做的。可以把控件注册一下就可以了
人生不要太仁慈
11-02 650
必须要实现IObjectSafety接口,把ActiveX控件标记为安全的ActiveX控件,可以不这样做的。可以把控件注册一下就可以了。如果你实在看不懂 IObjectSafety接口的定义的话。可以这样做:RegistryKey rootKeyStair ,rootKeyTwo,rootKeyThree,rootKeyFour;   rootKeyStair = Registry.Clas
C++ 未定义基类错误解决
热门推荐
月棠的专栏
08-23 1万+
这是类超前的错误。即在a.h中包含了b.h,而在b.h中又包含了a.h。
ActiveX 控件安全性demo.zip
09-06
第一个涉及实现IObjectSafety接口的控件,对于想要改变其行为并在Internet浏览器的上下文中运行时变得“安全”的控件非常有用。第二个涉及修改控件的DllRegisterServer函数以在注册表中标记控件“safe”。 本测试...
PHP读取带密码的压缩文件 PHP使用XCDZIP35.ocx
04-25
... 使用说明: ... ... 3.不支持ASP的调用,可能是由于OCX是有界面的缘故,如果需要ASP版的功能,请与我联系看看是否能开发。...4.联系方式 350078238(请注明...6.此OCX实现了IObjectSafety安全接口,保证控件自动下载。
activex控件
06-28
自己写的activex控件总是提示"在此页上的activex控件和本页上其他部分的交互可能不安全,你想允许这种交互吗?" ....其实网上的那种方式是可用的,在此再记录一下,也希望对没有解决此问题的朋友有帮助.
Anycell Report(AcReport)2.89
12-10
2.89主要变动: 1.完善了交叉表的功能,解决了动态列数过多时的换页问题,增加交叉区域...新版ActiveX控件实现了IObjectSafety接口,在一般的IE安全设置下,不会被阻止运行。 4.修改了用户在使用过程中发现的一些bug。
自动驾驶运动规划(Motion Planning).pdf
04-26
自动驾驶运动规划(Motion Planning)问题分析
财务数据分析模型6.xlsx
04-26
Excel数据看板,Excel办公模板,Excel模板下载,Excel数据统计,数据展示
人力资源数据分析看版.xlsx
04-26
Excel数据看板,Excel办公模板,Excel模板下载,Excel数据统计,数据展示
重庆大学2011-2012(2)数字电子技术II.pdf
最新发布
04-26
重庆大学期末考试试卷,重大期末考试试题,试题及答案

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值