Как я могу ограничить запуск подключаемого модуля java только на определенных сайтах в Internet Explorer?

Отличный вопрос. По иронии судьбы, именно эта функциональность была представлена ​​в более старой JVM Microsoft (10 лет назад).

Управление Java в Internet Explorer
https://blogs.msdn.com/b/ieinternals/archive/2011/05/15/controlling-java-in-internet-explorer.aspx

Недавно появился интерес к тому, как контролировать использование Java в Internet Explorer. Java - это уникальная форма расширяемости, потому что ее можно вызывать двумя способами:

• Используя ЯБЛОКО элемент
• Используя ОБЪЕКТ элемент с CLSID JVM

Эти два метода вызова подлежат различным мерам безопасности, которые я опишу в сегодняшнем посте.

Управление тегами апплета

Когда Internet Explorer обнаруживает тег APPLET, он проверяет значение URLACTION_JAVA_PERMISSIONS, чтобы определить, следует ли загружать APPLET. Если значение равно URL_POLICY_JAVA_PROHIBIT, то тег APPLET не может загружать JVM. В более ранних версиях Internet Explorer, когда была доступна Microsoft JVM, это URLAction отображалось в диалоговом окне «Инструменты»> «Свойства обозревателя»> «Безопасность»> «Пользовательский…», но с тех пор оно было удалено.

Вы можете использовать редактор групповой политики для управления URLAction в узле \ Administrative Templates \ Windows Components \ Internet Explorer \ Internet Control Panel \ Security Page \ ZoneID:

Кроме того, вы можете сделать небольшую настройку реестра, чтобы добавьте запись JVM Options вернуться в панель управления Интернетом:

Сценарий реестра использует тот факт, что пользовательский интерфейс панели управления в Интернете может быть расширен через реестр; он просто создает новый элемент, который регулирует значения URLACTION_JAVA_PERMISSIONS URLAction.

Если вы измените настройки зоны Интернета с «Высокая безопасность» на «Отключить» (URL_POLICY_JAVA_PROHIBIT), любой сайт, пытающийся использовать тег APPLET, обнаружит, что апплет не загружается, и отображается уведомление:

Управление тегами объекта

К сожалению, когда сайт использует тег OBJECT для загрузки Java, выполняется совершенно другой путь кода. В случае тега OBJECT действие JAVA_PERMISSIONS URLAction не используется, поскольку для Internet Explorer это может быть любой тип OBJECT. Вместо этого традиционные функции управления ActiveX консультируются (например, фильтрация ActiveX, ActiveX для каждого сайта, управление надстройками и т. д.). Вы можете использовать функцию IE Tools> Manage Add-ons, чтобы проверить или настроить состояние объекта Java Plug-in:

Примечание. Мне сказали, что не следует отключать объект Java Plug-In SSV Helper Browser Helper, поскольку он гарантирует, что веб-сайты не смогут пытаться загрузить более старые (небезопасные) версии JVM, которые вы могли установить. Однако вы заметите, что вы платите штраф за производительность при запуске вкладки для загрузки этого BHO - это одна из многих причин, по которым я не устанавливаю Java на свои ПК.

Если вы выбрали подключаемый модуль Java, вы можете щелкнуть Отключить кнопку, чтобы предотвратить загрузку Java тегом OBJECT. В качестве альтернативы, если вы щелкните Больше информации ссылку, вы можете удалить * из списка сайтов, на которых может работать подключаемый модуль Java:

Если вы впоследствии посетите сайт, который пытается вызвать Java в качестве тега OBJECT, вы увидите панель уведомлений, запрашивающую разрешение на запуск Java на текущем сайте.

Итак, если вы хотите разрешить запуск Java только в зонах интрасети и надежных сайтов:

1. Настройте URLAction для зоны Интернета, чтобы отключить
2. Удалите * из списка отдельных сайтов элемента управления ActiveX.

Шаг № 1 гарантирует, что только сайты Intranet Zone и Trusted Zone могут загружать Java для тегов APPLET. Шаг № 2 гарантирует, что подключаемый модуль Java не будет загружаться как ОБЪЕКТ на сайтах зоны Интернета; вместо этого будет показано уведомление. Поскольку интрасеть и доверенные сайты игнорируют список ActiveX для отдельных сайтов, вы не увидите никаких дополнительных предупреждений на этих сайтах.