Flex und crossdomain.xml
https://stackoverflow.com/questions/101427
-
01-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich frage mich, gibt es irgendwelche Sicherheitsbedenken mit crossdomain.xml an die Wurzel eines Anwendungsservers hinzufügen? Kann es auf andere Teile des Servers und sind Sie über alle Workarounds hinzugefügt werden, die diese Datei haben, anstelle muss der Server nicht?
Danke Damien
Lösung
Durch die crossdomain.xml Zugabe, das Hauptsicherheitsproblem ist, dass Flash-Anwendungen nun auf dem Server verbinden können. Also, wenn jemand in Ihre Website anmeldet, und blättert dann auf eine andere Website über mit einem bösartigen Flash-App können die Flash-App auf Ihre Website verbinden zurück. Da es in einem Browser ist, Cookies werden in den Flash-App geteilt. Dadurch kann der Flash-App der Sitzung des Benutzers kapern zu tun, was immer es ist Ihre Website tut, ohne dass der Benutzer darüber wissen.
Wenn Sie Ihr Flex-App aus dem gleichen Server bedient wird, brauchen Sie nicht ein crossdomain.xml
Sie können es in einem Unterverzeichnis Ihrer Website platzieren und verwenden System.security.loadSecurityPolicy ()
http://livedocs.adobe.com/flex/ 2 / langref / flash / system / security.html
Anwendungen würden dann zu dem Baum der Verzeichnisstruktur begrenzt werden.
Andere Tipps
Es gibt keine Abhilfe für die domänenübergreifende Datei, ist es erforderlich, den domänenübergreifende Datenzugriff oder domänenübergreifende Scripting zu unterstützen. Im Fall einer Cross-Domain-Anfrage, wird Flash-an der Wurzel der Domäne für die crossdomain.xml-Datei suchen. Zum Beispiel, wenn Sie eine XML-Datei aus anfordern:
http://mysubdomain.mydomain.com/fu/bar/
Der Blitz wird überprüfen, ob eine Datei crossdomain.xml existiert unter:
http://mysubdomin.mydomain.com/crossdomain.xml
Sie können die Datei crossdomain.xml in einem anderen Ort platzieren. Wenn Sie jedoch jemals eine crossdomain.xml-Datei von einem anderen Ort müssen laden, müssen Sie es über Security.loadPolicyFile . Denken Sie daran, dass die Lage dieses haben domänenübergreifende Auswirkungen auf die Sicherheit Zugriff Sie haben. Der Blitz wird nur Zugriff auf den Ordner gewähren, die domänenübergreifende und untergeordneten Ordner enthält.
Sie können auch auf die lesen Sicherheitsänderungen in Flash Player 10 .
Sie können einen virtuellen Host für Ihre Anwendung konfigurieren. Auf diese Weise der Datei crossdomain.xml an der Wurzel Ihrer Anwendung sein kann, aber nicht unbedingt an der Wurzel des Servers.
Ja. Seien Sie sehr vorsichtig mit domänenübergreifende Richtliniendateien:
http : //www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
Meine zwei allgemeine Faustregeln sind:
- Legen Sie eine domänenübergreifende Richtliniendatei nicht auf einem Server, Cookies verwendet
- Sie keine domänenübergreifende Richtliniendatei auf einem internen Server setzen
crossdomain.xml ist nur eine Datei, die die Flash-Laufzeit eine Bedeutung hat; Sie können einschränken, was HTTP-Anfragen es zu sehen bekommen. Sie können Web-Server (z Apache) Konfigurationssteuerung zu ermöglichen Lesezugriff auf sie (und nur sie) von dem „root“ Verzeichnis (siehe vorherige Antworten) verwenden.
Sie durch andere Header in der Anfrage filtern könnten, etc.
Prost
