فليكس crossdomain.xml
https://stackoverflow.com/questions/101427
-
01-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
كنت أتساءل هل هناك أي مخاوف أمنية مع إضافة crossdomain.xml إلى جذر تطبيق الخادم ؟ يمكن أن تضاف إلى أي أجزاء أخرى من الخادم و أنت على بينة من أي احترف العمل التي لا تتطلب الخادم أن يكون هذا الملف في المكان ؟
شكرا داميان
المحلول
عن طريق إضافة crossdomain.xml الرئيسية قلق أمني أن تطبيقات فلاش يمكنك الآن الاتصال إلى الملقم الخاص بك.حتى إذا كان شخص ما بتسجيل الدخول إلى موقع الويب الخاص بك ، ثم قم بالانتقال إلى موقع آخر مع فلاش الخبيثة التطبيق ، فلاش التطبيق يمكن الاتصال إلى موقع الويب الخاص بك.لأنه في مستعرض ملفات تعريف الارتباط المشتركة فلاش التطبيق.هذا يسمح فلاش التطبيق لاختطاف جلسة المستخدم للقيام بكل ما هو موقع الويب الخاص بك يقوم المستخدم دون معرفة حول هذا الموضوع.
إذا كان الخاص بك فليكس التطبيق من نفس الخادم, أنت لا تحتاج إلى crossdomain.xml
يمكنك وضعه في دليل فرعي من موقع الويب الخاص بك واستخدام النظام.الأمن.loadSecurityPolicy()
http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html
التطبيقات ثم تكون محدودة إلى أن شجرة بنية الدليل الخاص بك.
نصائح أخرى
لا يوجد حل بديل عن crossdomain الملف المطلوب لدعم crossdomain الوصول إلى البيانات أو crossdomain البرمجة.في حال وجود أي عبر المجال طلب فلاش سوف ابحث عن crossdomain.xml الملف في جذر المجال.على سبيل المثال ، إذا كنت تطلب ملف XML من:
http://mysubdomain.mydomain.com/fu/bar/
فلاش سوف تحقق إذا crossdomain.xml الملف موجود في:
http://mysubdomin.mydomain.com/crossdomain.xml
يمكنك وضع crossdomain.xml الملف في موقع آخر.ومع ذلك ، عندما كنت في حاجة من أي وقت مضى لتحميل crossdomain.xml الملف من موقع آخر ، عليك أن تفعل ذلك عن طريق الأمن.loadPolicyFile .نضع في اعتبارنا أن موقع هذا crossdomain يكون لها أي تأثير على الأمن الوصول لديك.فلاش فقط منح حق الوصول إلى المجلد الذي يحتوي على crossdomain و المجلدات التابعة.
قد تحتاج أيضا إلى قراءة التغييرات الأمنية في فلاش لاعب 10.
يمكنك تكوين المضيف الظاهري للتطبيق الخاص بك.هذه الطريقة الملف crossdomain.xml يمكن أن يكون في جذر التطبيق الخاص بك ولكن ليس بالضرورة في جذر الملقم.
نعم.كن حذرا جدا مع crossdomain ملفات السياسة:
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
بلدي اثنين من قواعد عامة من الإبهام،:
- لا تضع crossdomain السياسة الملف في الخادم التي تستخدم ملفات تعريف الارتباط
- لا تضع crossdomain السياسة الملف على خادم داخلي
crossdomain.xml هو مجرد ملف له معنى فلاش وقت التشغيل ؛ يمكنك تقييد ما طلبات HTTP تحصل على رؤية ذلك.يمكنك استخدام ملقم ويب (على سبيل المثالأباتشي) التكوين التحكم للسماح الوصول للقراءة إلى ذلك (فقط) من "الجذر" الدليل (انظر الأجوبة السابقة).
قد مرشح من قبل رؤوس أخرى في الطلب ، إلخ.
هتافات
