Flex e crossdomain.xml
https://stackoverflow.com/questions/101427
-
01-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu estava pensando há algum preocupações de segurança com a adição de crossdomain.xml à raiz de um servidor de aplicativos? ele pode ser adicionado a quaisquer outras partes do servidor e você está ciente de quaisquer arounds de trabalho que não exigem que o servidor tenha esse arquivo no lugar?
Graças Damien
Solução
Ao adicionar o crossdomain.xml, a principal preocupação de segurança é que os aplicativos flash podem agora conectar ao seu servidor. Então, se alguém fizer logon no seu site, e em seguida, navega para outro site com um aplicativo Flash malicioso, esse aplicativo flash pode ligar de volta para o seu site. Desde que é em um navegador, os cookies são compartilhados para o aplicativo Flash. Isso permite que o aplicativo flash para sequestrar a sessão do usuário para fazer o que é o seu site faz sem o usuário saber sobre isso.
Se seu aplicativo Flex é servido a partir do mesmo servidor, você não precisa de um crossdomain.xml
Você pode colocá-lo em um diretório sub do seu site e uso System.security.loadSecurityPolicy ()
http://livedocs.adobe.com/flex/ 2 / langref / flash / system / security.html
Applications, então, ser limitada a essa árvore da sua estrutura de diretório.
Outras dicas
Há nenhuma solução para o arquivo crossdomain, ele é necessário para suportar o acesso a dados crossdomain ou scripting crossdomain. Em caso de qualquer solicitação de domínio cruzado, Flash irá procurar o arquivo crossdomain.xml na raiz do domínio. Por exemplo, se você está solicitando um arquivo XML a partir de:
http://mysubdomain.mydomain.com/fu/bar/
Flash irá verificar se a exist arquivo crossdomain.xml em:
http://mysubdomin.mydomain.com/crossdomain.xml
Você pode colocar o arquivo crossdomain.xml em outro local. No entanto, quando você precisar carregar um arquivo crossdomain.xml de um local diferente, você tem que fazê-lo através de Security.loadPolicyFile . Tenha em mente que a localização deste crossdomain tem qualquer impacto sobre o acesso de segurança que você tem. Flash só vai conceder acesso à pasta que contém o crossdomain e suas pastas filho.
Você também pode querer ler sobre as alterações de segurança no Flash player 10 .
Você pode configurar um host virtual para a sua aplicação. Desta forma, o crossdomain.xml arquivo pode estar na raiz de sua aplicação, mas não necessariamente na raiz do servidor.
Sim. Tenha muito cuidado com arquivos de políticas crossdomain:
http : //www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
As minhas duas regras gerais são:
- Não coloque um arquivo de política crossdomain em um servidor que utiliza cookies
- Não coloque um arquivo de política crossdomain em um servidor interno
crossdomain.xml é apenas um arquivo que tem significado para o tempo de execução do Flash; você pode restringir o HTTP solicitações chegar a vê-lo. Você pode usar o servidor web (por exemplo Apache) controle de configuração para permitir o acesso de leitura para ele (e só ele) do diretório "raiz" (ver respostas anteriores).
Você pode filtrar por outros cabeçalhos no pedido, etc.
Felicidades
