質問

アプリケーションサーバーのルートにcrossdomain.xmlを追加することにセキュリティ上の問題があるのではないかと疑問に思ったのですが?このファイルをサーバーの他の部分に追加できますか?また、サーバーにこのファイルを配置する必要がない回避策をご存知ですか?

ありがとうダミアン

役に立ちましたか?

解決

Crossdomain.xml を追加すると、セキュリティ上の主な懸念事項は、フラッシュ アプリケーションがサーバーに接続できるようになるということです。そのため、誰かがあなたのサイトにログインし、悪意のある Flash アプリを使用して別の Web サイトを閲覧すると、その Flash アプリがあなたのサイトに接続し直す可能性があります。ブラウザ上で動作するため、Cookie は Flash アプリに共有されます。これにより、Flash アプリがユーザーのセッションをハイジャックして、ユーザーが気づかないうちに Web サイトで行うことを何でも行うことができます。

Flex アプリが同じサーバーから提供される場合は、crossdomain.xml は必要ありません。

これをサイトのサブディレクトリに配置し、System.security.loadSecurityPolicy() を使用できます。

http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html

その場合、アプリケーションはディレクトリ構造のそのツリーに制限されます。

他のヒント

クロスドメイン ファイルに対する回避策はありません。クロスドメイン データ アクセスまたはクロスドメイン スクリプティングをサポートする必要があります。クロスドメインリクエストが発生した場合、Flash はドメインのルートでcrossdomain.xml ファイルを探します。たとえば、次の場所から XML ファイルをリクエストするとします。

http://mysubdomain.mydomain.com/fu/bar/

Flash は、crossdomain.xml ファイルが次の場所に存在するかどうかを確認します。

http://mysubdomin.mydomain.com/crossdomain.xml

Crossdomain.xml ファイルは他の場所に配置できます。ただし、crossdomain.xml ファイルを別の場所からロードする必要がある場合は、次のようにする必要があります。 Security.loadPolicyFile 。このクロスドメインの場所は、セキュリティ アクセスに影響を与えることに注意してください。Flash は、クロスドメインを含むフォルダーとその子フォルダーへのアクセスのみを許可します。

についても読んでみてください。 Flash Player 10 のセキュリティの変更.

アプリケーションの仮想ホストを構成できます。このように、ファイルcrossdomain.xmlはアプリケーションのルートに置くことができますが、必ずしもサーバーのルートに置く必要はありません。

はい。クロスドメイン ポリシー ファイルには十分注意してください。
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/

私の一般的な経験則は次の 2 つです。

  • Cookie を使用するサーバーにクロスドメイン ポリシー ファイルを配置しないでください
  • クロスドメイン ポリシー ファイルを内部サーバーに配置しないでください

crossdomain.xml は、Flash ランタイムにとって意味のある単なるファイルです。これを表示するために取得する HTTP リクエストを制限できます。Web サーバー (例:Apache) 構成制御を使用して、「ルート」ディレクトリから (およびそれのみ) への読み取りアクセスを許可します (以前の回答を参照)。

リクエスト内の他のヘッダーなどでフィルタリングすることもできます。

乾杯

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top