Flex et crossdomain.xml
https://stackoverflow.com/questions/101427
-
01-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je me demandais si l'ajout de crossdomain.xml à la racine d'un serveur d'applications posait un problème de sécurité. Peut-il être ajouté à d’autres parties du serveur et avez-vous connaissance de solutions permettant de ne pas demander au serveur d’avoir ce fichier en place?
Merci Damien
La solution
En ajoutant le fichier crossdomain.xml, le principal problème de sécurité est que les applications flash peuvent désormais se connecter à votre serveur. Ainsi, si quelqu'un se connecte à votre site, puis navigue vers un autre site Web avec une application flash illicite, cette application flash peut se reconnecter à votre site. Puisqu'il est dans un navigateur, les cookies sont partagés avec l'application flash. Cela permet à l'application flash de pirater la session de l'utilisateur et de faire ce que votre site Web fait à son insu.
Si votre application Flex est desservie par le même serveur, vous n'avez pas besoin d'un fichier crossdomain.xml
.Vous pouvez le placer dans un sous-répertoire de votre site et utiliser System.security.loadSecurityPolicy ()
http://livedocs.adobe.com/flex/ 2 / langref / flash / system / Security.html
Les applications seraient alors limitées à cette arborescence de votre structure de répertoires.
Autres conseils
Il n’existe pas de solution de contournement pour le fichier interdomaines, il est nécessaire de prendre en charge l’accès aux données entre domaines ou l’écriture de scripts entre domaines. En cas de requête interdomaine, Flash recherchera le fichier crossdomain.xml à la racine du domaine. Par exemple, si vous demandez un fichier XML à partir de:
http://mysubdomain.mydomain.com/fu/bar/
Flash vérifiera si un fichier crossdomain.xml existe à:
http://mysubdomin.mydomain.com/crossdomain.xml
Vous pouvez placer le fichier crossdomain.xml à un autre emplacement. Cependant, lorsque vous devez charger un fichier crossdomain.xml à partir d'un autre emplacement, vous devez le faire via Security.loadPolicyFile . N'oubliez pas que l'emplacement de ce domaine multi-domaines peut avoir un impact sur la sécurité de votre accès. Flash n'accordera que l'accès au dossier qui contient le domaine croisé et ses dossiers enfants.
Vous pouvez également consulter la modification de la sécurité dans Flash. Lecteur 10 .
Vous pouvez configurer un hôte virtuel pour votre application. Ainsi, le fichier crossdomain.xml peut se trouver à la racine de votre application mais pas nécessairement à la racine du serveur.
Oui. Soyez très prudent avec les fichiers de règles interdomaines:
http : //www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
Mes deux règles générales sont:
- Ne mettez pas de fichier de stratégie interdomaine sur un serveur utilisant des cookies
- Ne mettez pas de fichier de stratégie interdomaine sur un serveur interne
crossdomain.xml est simplement un fichier qui a une signification pour le runtime de Flash; vous pouvez limiter le nombre de requêtes HTTP pouvant le voir. Vous pouvez utiliser le contrôle de configuration du serveur Web (Apache, par exemple) pour autoriser l'accès en lecture à celui-ci (et uniquement à celui-ci) à partir du répertoire "racine". répertoire (voir réponses précédentes).
Vous pouvez filtrer par d'autres en-têtes dans la demande, etc.
A bientôt
