Javascript 能够从intranet站点运行命令行命令_Javascript_Security_Internet Explorer

Javascript 能够从intranet站点运行命令行命令

javascript security internet-explorer

Javascript 能够从intranet站点运行命令行命令,javascript,security,internet-explorer,Javascript,Security,Internet Explorer,我的公司有一个内部网站，我们在那里存储客户信息。我们有第二个胖客户端应用程序，它存储有关客户的附加信息。这个胖客户机有一种方法，可以运行命令行命令来打开应用程序，并立即浏览到特定的客户记录。我们正在寻找一种方法，将超链接或按钮添加到我们内部网站上的客户页面，该页面将自动打开胖客户机应用程序并浏览到匹配的客户信息（使用胖客户机命令行命令）我知道，由于安全限制，现代浏览器会竭尽全力阻止我正在尝试做的事情，但我想在向我的团队说明这一点之前，确保这是100%不可能的。这将只供内部员工使用，我们完全控制

我的公司有一个内部网站，我们在那里存储客户信息。我们有第二个胖客户端应用程序，它存储有关客户的附加信息。这个胖客户机有一种方法，可以运行命令行命令来打开应用程序，并立即浏览到特定的客户记录。我们正在寻找一种方法，将超链接或按钮添加到我们内部网站上的客户页面，该页面将自动打开胖客户机应用程序并浏览到匹配的客户信息（使用胖客户机命令行命令）

我知道，由于安全限制，现代浏览器会竭尽全力阻止我正在尝试做的事情，但我想在向我的团队说明这一点之前，确保这是100%不可能的。这将只供内部员工使用，我们完全控制他们浏览器的安全配置。我们将IE用于这个特定的intranet站点

如果您对如何实现这一点有任何想法，并且对解决方案的安全含义有更多信息，我也会对这些信息感兴趣。

这不需要javascript。为参数使用自定义协议方案，如

myfatclient:cmdargs

，您可以将其用作按钮或链接的

href

有关如何使用该方案打开胖客户端的信息，请参见MSDN

只要命令行不允许更改数据，而只允许显示数据，安全性考虑就相当低。您的员工需要警惕网络钓鱼攻击，或安装处理程序时可能启用的某种跨应用程序请求伪造。另请参阅链接页面的安全部分。

为所有机器添加自定义协议：如果我正确理解安全含义，我应该假设恶意用户可以向应用程序发送任何参数，因此我希望确保没有可能导致有害行为的参数。恶意用户是否可能运行除已注册的应用程序以外的任何命令（使用某些参数组合）？否，只能启动已注册的应用程序。恶意“用户”（任何网站）是否能够自行激活链接应取决于您的浏览器安全设置；如果这些都得到了很好的实现，那么使用浏览器的员工就需要显式地单击链接（但他仍然可能会被骗这样做）。不允许有害参数绝对是个好主意。