Flex и crossdomain.xml
-
01-07-2019 - |
Вопрос
Мне было интересно, есть ли какие-либо проблемы с безопасностью при добавлении файла crossdomain.xml в корень сервера приложений?Можно ли его добавить в какие-либо другие части сервера, и известны ли вам какие-либо обходные пути, которые не требуют наличия на сервере этого файла?
Спасибо, Дэмиен
Решение
При добавлении файла crossdomain.xml основной проблемой безопасности является то, что флэш-приложения теперь могут подключаться к вашему серверу.Таким образом, если кто-то войдет на ваш сайт, а затем перейдет на другой веб-сайт с вредоносным флеш-приложением, это флеш-приложение сможет снова подключиться к вашему сайту.Поскольку файлы cookie хранятся в браузере, они передаются во флэш-приложение.Это позволяет флэш-приложению перехватывать сеанс пользователя, чтобы делать все, что делает ваш веб-сайт, без ведома пользователя об этом.
Если ваше гибкое приложение обслуживается с того же сервера, вам не нужен файл crossdomain.xml.
Вы можете поместить его в подкаталог вашего сайта и использовать System.security.loadSecurityPolicy().
http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html
Тогда приложения будут ограничены этим деревом вашей структуры каталогов.
Другие советы
Для междоменного файла нет обходного пути, он необходим для поддержки междоменного доступа к данным или междоменных сценариев.В случае любого междоменного запроса Flash будет искать файл crossdomain.xml в корне домена.Например, если вы запрашиваете XML-файл у:
http://mysubdomain.mydomain.com/fu/bar/
Flash проверит, существует ли файл crossdomain.xml по адресу:
http://mysubdomin.mydomain.com/crossdomain.xml
Вы можете разместить файл crossdomain.xml в другом месте.Однако, если вам когда-нибудь понадобится загрузить файл crossdomain.xml из другого места, вам придется сделать это через Security.loadPolicyFile .Имейте в виду, что расположение этого перекрестного домена может повлиять на ваш безопасный доступ.Flash предоставит доступ только к папке, содержащей кросс-домен и его дочерние папки.
Вы также можете прочитать о изменения безопасности в Flash Player 10.
Вы можете настроить виртуальный хост для своего приложения.Таким образом, файл crossdomain.xml может находиться в корне вашего приложения, но не обязательно в корне сервера.
Да.Будьте очень осторожны с файлами междоменной политики:
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
Два моих общих правила:
- Не размещайте файл междоменной политики на сервере, который использует файлы cookie.
- Не размещайте файл междоменной политики на внутреннем сервере.
crossdomain.xml — это просто файл, имеющий значение для среды выполнения Flash;вы можете ограничить количество HTTP-запросов, чтобы увидеть его.Вы можете использовать веб-сервер (например.Apache), чтобы разрешить доступ для чтения к нему (и только к нему) из «корневого» каталога (см. предыдущие ответы).
Вы можете фильтровать по другим заголовкам в запросе и т. д.
Ваше здоровье