Flex y crossdomain.xml
https://stackoverflow.com/questions/101427
-
01-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Me preguntaba ¿hay problemas de seguridad con la adición de crossdomain.xml a la raíz de un servidor de aplicaciones?Puede ser añadido a cualquier otra parte del servidor y son conscientes de que cualquier trabajo soluciones que no requieren que el servidor tiene este archivo en el lugar?
Gracias Damien
Solución
Mediante la adición de la crossdomain.xml la principal preocupación de la seguridad es que las aplicaciones flash pueden ahora conectarse a su servidor.Así que si alguien se registra en su sitio y, a continuación, se desplaza a otro sitio web con una mala aplicación flash, flash en el que la aplicación puede volver a conectarse a su sitio.Ya que es en un navegador, las cookies son compartidos para la aplicación flash.Esto permite que la aplicación flash para secuestrar la sesión del usuario para hacer cualquier cosa que su sitio web sin que el usuario lo sepa.
Si el flex de la aplicación se sirve de un mismo servidor, usted no necesita un crossdomain.xml
Usted puede ponerlo en un sub directorio de su sitio web y el uso del Sistema.de seguridad.loadSecurityPolicy()
http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html
La presentación de solicitudes, a continuación, limitarse a ser un árbol de su estructura de directorios.
Otros consejos
No hay ninguna solución para el archivo crossdomain, es necesario apoyar el crossdomain de acceso a datos o crossdomain de secuencias de comandos.En el caso de la cruz solicitud de dominio, Flash va a buscar la crossdomain.xml el archivo en la raíz del dominio.Por ejemplo, si usted está solicitando un archivo XML de:
http://mysubdomain.mydomain.com/fu/bar/
El Flash de comprobar si un crossdomain.xml archivo existe en:
http://mysubdomin.mydomain.com/crossdomain.xml
Usted puede colocar el crossdomain.xml archivo en otra ubicación.Sin embargo, cuando se necesita cargar un crossdomain.xml archivo desde una ubicación diferente, tienes que hacerlo a través de De seguridad.loadPolicyFile .Tenga en cuenta que la ubicación de este crossdomain tiene ningún impacto en la seguridad de acceso tiene.Flash sólo se conceda el acceso a la carpeta que contiene el crossdomain y su hijo carpetas.
Puede que también quiera leer sobre el los cambios de seguridad en Flash Player 10.
Usted puede configurar un host virtual para su aplicación.De esta manera el archivo crossdomain.xml puede estar en la raíz de su aplicación, pero no necesariamente en la raíz del servidor.
Sí.Ser muy cuidadoso con crossdomain política de los archivos:
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
Mis dos reglas generales de pulgar son:
- No ponga un crossdomain archivo de política en un servidor que utiliza las cookies
- No ponga un crossdomain archivo de política en un servidor interno
crossdomain.xml es solo un archivo que ha significado para el motor de ejecución de Flash;usted puede restringir lo que las solicitudes HTTP get a ver.Puede utilizar el servidor web (por ejemplo,Apache) control de configuración para permitir el acceso de lectura a él (y sólo él) desde el directorio "raíz" (ver respuestas anteriores).
Puede filtrar por otras cabeceras de la petición, etc.
Saludos
