将浏览器插件的使用限制在特定的服务器上？

Question

对于新的银行应用程序，我们目前正在讨论安装在客户端PC上用于访问智能卡读卡器的浏览器插件的详细信息。

出现的问题是：有没有办法将此插件的用法限制到指定的域列表中？它应该阻止任何第三方网站使用该插件仅仅通过提供一些<嵌入/对象> -Tag。

该解决方案应基本上与浏览器无关。 如果需要，它可能包含密码，但只会导致插件代码中的适度实现开销。

想法，任何人？

---

我知道存在一个名为SiteLock的MS解决方案，但那只是IE。

Answer 1

我们想出了这个想法：（一台服务器描述）

插件带有公共密钥A.该插件的创造者发出的服务器的公钥B.证书与服务器的HTML内启动插件-page并提供这些参数：

• 几个allication sepcific参数
• 证书
• 数字签名

然后插件将启动并首先是执行这些检查：

• 验证与插件
• 内交付公钥证书从证书的公钥来验证签名
• 如果验证正常，然后继续，否则终止。

Answer 2

您可以将授权域列表硬编码到插件本身。

或者，您可以公开一个将提供授权域列表的Web服务。插件可以在实例化时调用Web服务，以确定它是否可以启动。