Flex和crossdomain.xml

Question

我想知道将crossdomain.xml添加到应用程序服务器的根目录是否存在安全问题？它可以被添加到服务器的任何其他部分吗?你是否知道任何不需要服务器有这个文件的变通方法？

谢谢达米恩

Answer 1

通过添加crossdomain.xml，主要的安全问题是flash应用程序现在可以连接到您的服务器。因此，如果有人登录到您的网站，然后浏览到另一个网站的恶意flash应用程序，该flash应用程序可以连接回您的网站。因为它在浏览器中，所以cookie被共享到flash应用程序中。这允许flash应用程序劫持用户的会话，在用户不知情的情况下做你的网站所做的任何事情。

如果您的flex应用程序是从同一服务器提供的，则不需要crossdomain.xml

您可以将其放在站点的子目录中，并使用System.security.loadSecurityPolicy()

http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html

然后，应用程序将被限制在目录结构的该树中。

Answer 2

跨域文件没有解决方法，需要支持跨域数据访问或跨域脚本。在任何跨域请求的情况下，闪存将在域的根目录中查找crossdomain.xml文件。例如，如果您从以下位置请求XML文件：

http://mysubdomain.mydomain.com/fu/bar/

Flash将检查以下位置是否存在crossdomain.xml文件：

http://mysubdomin.mydomain.com/crossdomain.xml

您可以将crossdomain.xml文件放置在其他位置。但是，当您需要从其他位置加载crossdomain.xml文件时，您必须通过Security.loadPolicyFile加载。请记住，此跨域的位置对您拥有的安全访问有任何影响。Flash将仅授予对包含跨域及其子文件夹的文件夹的访问权限。

您可能还想阅读security changes in Flash Player 10上的内容。

Answer 3

您可以为应用程序配置虚拟主机。这样，文件crossdomain.xml可以位于应用程序的根目录，但不一定位于服务器的根目录。