Flex e crossdomain.xml
https://stackoverflow.com/questions/101427
-
01-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Mi chiedevo ci sono problemi di sicurezza con l'aggiunta di crossdomain.xml alla radice di un'applicazione server?Può essere aggiunto a qualsiasi altra parte del server e siete a conoscenza di qualsiasi soluzioni che non necessitano di un server di questo file è a posto?
Grazie Damien
Soluzione
Aggiungendo il crossdomain.xml la principale preoccupazione per la sicurezza è che le applicazioni flash può ora connettersi al server.Quindi, se qualcuno effettua l'accesso al tuo sito, e quindi passa su un altro sito con un dannoso applicazione flash, flash, l'app è in grado di connettersi al tuo sito.Essendo in un browser, i cookie vengono condivise per l'applicazione flash.Questo permette il flash app di dirottare la sessione dell'utente di fare ciò che è il vostro sito web senza che l'utente ne sia a conoscenza.
Se il flex app è servita dal server stesso, non hai bisogno di un crossdomain.xml
Si può mettere in una sotto directory del sito e l'utilizzo del Sistema.di sicurezza.loadSecurityPolicy()
http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html
Applicazioni dovrebbe quindi essere limitato a quell'albero della vostra struttura di directory.
Altri suggerimenti
Ci sono alcuna soluzione per il intrasettoriali file, è necessario per supportare il intrasettoriali dati di accesso o intrasettoriali di scripting.In caso di cross-domain richiesta, Flash a cercare la crossdomain.xml file nella root del dominio.Per esempio, se si richiede un file XML da:
http://mysubdomain.mydomain.com/fu/bar/
Flash verificare se un crossdomain.xml file esiste:
http://mysubdomin.mydomain.com/crossdomain.xml
È possibile inserire il crossdomain.xml file in un'altra posizione.Tuttavia, quando è necessario caricare un crossdomain.xml file da una posizione diversa, devi farlo via Di sicurezza.loadPolicyFile .Tenete a mente che la posizione di questo intrasettoriali ha alcun impatto sulla sicurezza di accesso.Flash solo concedere l'accesso alla cartella che contiene il intrasettoriali e le sue sottocartelle.
Si potrebbe anche voler leggere su modifiche di sicurezza di Flash Player 10.
Si potrebbe configurare un host virtuale per la vostra applicazione.In questo modo il file crossdomain.xml può essere alla radice della vostra applicazione, ma non necessariamente alla root del server.
Sì.Essere molto attenti con intrasettoriali file di criteri:
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
I miei due regole generali del pollice sono:
- Non mettere un intrasettoriali politica di file su un server che utilizza i cookies
- Non mettere un intrasettoriali politica di file su un server interno
crossdomain.xml è solo un file che ha un significato per il runtime Flash;è possibile limitare le richieste HTTP get a vedere.È possibile utilizzare il server web (ad es.Apache) il controllo di configurazione per consentire l'accesso in lettura ad essa (e solo esso) dalla directory "principale" (vedi risposte precedenti).
È possibile filtrare da altre intestazioni di richiesta, etc.
Cheers
