flash 安全沙箱衝突 之解決
2023年10月27日 星期四 10:20
問題
客戶端出現「安全沙箱衝突」
解決方法
伺服器端新增 crossdomain.xml 檔案
crossdomain.xml
flash在跨域時唯一的限制策略就是crossdomain.xml檔案,該檔案限制了flash是否可以跨域讀寫資料以及允許從什麼地方跨域讀寫資料。
位於www.a.com域中的swf檔案要訪問www.b.com的檔案時,swf首先會檢查www.b.com伺服器目錄下是否有crossdomain.xml檔案,如果沒有,則訪問不成功;若crossdomain.xml檔案存在,且裡邊設定了允許www.a.com域訪問,那麼通訊正常。所以要使flash可以跨域傳輸資料,其關鍵就是crossdomain.xml。
不正確的crossdomain.xml策略將導致嚴重的安全問題,如資訊洩露、csrf等。在進行安全評估時,我們應重點關注以下幾點:
1)allow-access-from標籤的domain屬性檢測:domain屬性應根據最小化原則按需設定,僅允許可信任的**跨域請求本域內容。禁止將該屬性值設定為「*」。
2)allow-http-request-headers-from標籤的domain屬性檢測:domain屬性應根據最小化原則按需設定,僅允許可信任的**向本域跨域傳送內容。禁止將該屬性值設定為「*」。
3) site-control標籤的permitted-cross-domain-policies屬性檢測:根據業務的實際需求及可行性,對該屬性做相應設定。禁止將該屬性值設定為「all」。
參考資料
Flex擴充套件HTTPService簡化呼叫介面定義
flex提供mxml來描述乙個httpservice,看上可以簡化開發人員的工作,但實際上這種描述httpservice的方式很容易產生重複 導致 不好維護和擴充套件。資料互動介面唯一定義對系統的維護非常有利,但基於as定義httpservice也是一件煩瑣的事情 那如何做才能夠達到方便地定義介面呢...
flex布局 Flex布局
摘要 flex布局主要思想是讓容器有能力讓其子專案能夠改變其寬度 高度 甚至順序 以最佳方式填充可用空間 主要是為了適應所有型別的顯示裝置和螢幕大小 作者 星星 flex 是 flexible box 的縮寫,意為 彈性布局 flex布局主要思想是讓容器有能力讓其子專案能夠改變其寬度 高度 甚至順序...
flex 布局 flex教程
簡介 2009年,w3c提出了一種新的方案 flex布局,可以簡便 完整 響應式地實現各種頁面布局。目前,它已經得到了所有瀏覽器的支援,這意味著,現在就能很安全地使用這項功能。flex是flexible box的縮寫,意為 彈性布局 用來為盒狀模型提供最大的靈活性。任何乙個容器都可以指定為flex布...