Flex und crossdomain.xml
Ich Frage mich, gibt es irgendwelche Sicherheitsprobleme mit hinzufügen crossdomain.xml der root-application-server? Kann es Hinzugefügt werden, um andere Teile des server und sind Sie sich bewusst, jede Arbeit, Tips und Tricks, die nicht erfordern, dass der server über diese Datei?
Dank
Damien
Du musst angemeldet sein, um einen Kommentar abzugeben.
Indem die crossdomain.xml die wichtigsten Sicherheitsproblem ist, dass flash-Anwendungen können nun auf den server verbinden. Also, wenn jemand meldet sich auf Ihrer Website, und durchsucht dann über zu einer anderen website mit einem schädlichen flash-app, das flash-app kann eine Verbindung zurück zu Ihrer Website. Da es in einem browser, cookies sind gemeinsam auf das flash-app. Dies ermöglicht es der flash-app zu entführen, die Sitzung des Benutzers zu tun, was es für Ihre Webseite, ohne das der Benutzer es zu wissen.
Wenn in Ihrem flex-app wird serviert von dem gleichen server, die Sie nicht brauchen, ein crossdomain.xml
Können Sie es in einem sub-Verzeichnis Ihrer Website und verwenden Sie System.Sicherheit.loadSecurityPolicy()
http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html
Anwendungen würden dann begrenzt werden, dass die Struktur der Verzeichnis-Struktur.
Es gibt keine Problemumgehung für die crossdomain-Datei, ist es erforderlich, zur Unterstützung der crossdomain-Daten zugreifen oder die crossdomain-scripting. Im Falle einer cross-domain-request, Flash Aussehen wird, für die crossdomain.xml Datei im Stammverzeichnis der domain. Zum Beispiel, wenn Sie ersuchenden eine XML-Datei aus:
http://mysubdomain.mydomain.com/fu/bar/
Flash wird prüfen, ob eine crossdomain.xml Datei vorhanden:
http://mysubdomin.mydomain.com/crossdomain.xml
Können Sie die crossdomain.xml Datei in einen anderen Speicherort. Allerdings, wenn Sie jemals brauchen, um zu laden crossdomain.xml Datei von einem anderen Speicherort, müssen Sie es über Sicherheit.loadPolicyFile . Beachten Sie, dass der Speicherort dieser crossdomain haben keine Auswirkungen auf die Sicherheit zugreifen, die Sie haben. Flash wird nur Zugriff auf den Ordner mit der crossdomain und seine untergeordneten Ordner.
Möglicherweise möchten Sie auch zu Lesen, auf das security changes in Flash Player 10.
Können Sie konfigurieren Sie einen virtuellen host für Ihre Anwendung. Auf diese Weise die Datei crossdomain.xml kann an der Wurzel Ihrer Anwendung, aber nicht unbedingt im Stammverzeichnis des Servers.
Ja. Seien Sie sehr vorsichtig mit der crossdomain-policy-Dateien:
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
Meine zwei Allgemeine Faustregeln sind:
crossdomain.xml ist nur eine Datei, hat die Bedeutung, die Flash-runtime; Sie können beschränken, welche HTTP-Anfragen bekommen, um es zu sehen. Sie können web-server (z.B. Apache) configuration control Lesezugriff zu gestatten, um es (und nur es) von der "root" - Verzeichnis (siehe Vorherige Antworten).
Könnten Sie filter von anderen Header in der Anfrage, etc.
Cheers