`
gsb
  • 浏览: 14022 次
  • 性别: Icon_minigender_1
  • 来自: 重庆
文章分类
社区版块
存档分类
最新评论

java与FlashSocket通信安全

阅读更多
在Adobe Flash Player升级到9.0.124后,由于安全策略的更改,使得在socket或xmlsocket的应用里,原先如用http方式加载安全策略的手段不能继续使用了,类似此类应用必须使用xmlsocket://方式来提供安全策略。flashplayer的安全策略检测过程如下:

1,首先检测目标服务器的843端口是否提供安全策略
2,如果1没有检测到策略,则检测actionscript是否使用了Security.loadPolicyFile(xmlsocket://) 手段提供安全策略,如果还没检测到,则使用第3步检测
3,检测目标服务器目标端口是否提供安全策略

如果上述检测都不成功,则socket或xmlsocket则拒绝连接目标服务器。

昨天做测试的时候遇到一个问题,做好的SWF在Flash AS3中调试通过,但是发布到html中之后就无法得到数据了。查了一些资料之后找到了解决办法。这里感谢 剑心 提供帮助,以及同事若水三千提供Java代码及日志记录。

1、问题描述

      将flash发布为html格式后,加载页面后,swf无法与服务器进行socket通信。Flash端显示的错误为:
securityErrorHandler信息: [SecurityErrorEvent type="securityError" bubbles=false cancelable=false eventPhase=2 text="Error #2048"]

      在服务器端显示的信息是由客户端尝试进行连接,但是无法接受数据。接受的数据显示为空。

2.问题原因:

        最新的Flash player 9.0.124.0,当flash文件要进行socket通信的时候,需要向服务器端获取crossdomain.xml文件。如果找不到就出现客户端无法连接服务器的现象。

了解flash发起socket通信的三个过程

      当封装在页面的flash发起socket通信请求的时候会先寻找服务器端的843端口,获取Crossdomain.xml文件,当服务器没有开启 843的时候,flashPlayer会检查发起请求的swf文件中中有没有使用Security.loadPolicyFile来加载策略文件 Crossdomain.xml,如果还是没有就会看这个发起请求的swf要连接的目标端口有没有策略文件。如果都没有那么连接失败,返回如上的出错提 示。

为什么老版本的Flash player没有这个问题?

      从一些官方的一些资料中了解了一下。以前的Flash Player无论你采用urlRequest的http请求方式或者xmlsocket socket方式,他们都共用一个安全策略文件。这个策略文件只要你放在主域的目录下就行了。而现在不行了,现在的策略文件如果你使用http请求方式那 么需要把策略文件放在目录下面,如果你使用socket请求方式就必须通过socket端口来接收这个策略文件。

      对应调用的方式为:
      http请求——》Security.loadPolicyFile(“http://www.xxx.com/crossdomain.xml”)
      socket或xmlsocket请求——》Security.loadPolicyFile(“xmlsocket://www.xxx.com:port”)

怎么将Socke策略文件发给Flash Player

      Flash Player在你的socket.connect("domain",port)运行之前,会按照前面描述的三个过程向你的socket服务器的843端 口(据说Adobe已经向相关管理机构申请保留843端口给Flash Player用)发送一个字符串 "<policy-file-request/>",这个时候如果你有一个服务在监听843端口那么收到这个字符串之后,直接按照XML格式 发回策略文件就解决了。(注意发回的时候记得加一个截止字符"\0")

    当然你也可以不用843端口自己设置一个端口。因为Flash Player如果在843端口得不到信息,就会检查你是否在你的Flash文件里面自己添加了指定的获取通道,你可以定义一个自己的端口。不过这个时候你 不能用http方式,而要用xmlsocket方式。(相当于自动帮你新建了一个xmlsocket对象,然后链接你指定的主机和端口)。比如你想用 1234端口可以在你的Flash里面加这一句 Security.loadPolicyFile(“xmlsocket://www.xxx.com:1234”),需要注意的是这一句要加在你的 socket.connect前面。

    还有最后一个办法,就是在你的socket连接端口监听这个请求。比如你用的是 socket.connect("192.168.1.100",8888),那么在你的服务器加一段接收字符串"<policy-file- request/>"的代码,当接到这个字符串时将策略文家按照xml格式发到客户端。

关于策略文件的格式(可以在Flash CS3帮助里面的Flash Player安全性——》控制权限概述中找到)

1、针对web应用的策略文件

下面的示例显示了一个策略文件,该文件允许访问源自 *.iflashigame.com 和 192.0.34.166 的 SWF 文件。

<?xml version="1.0"?>
<cross-domain-policy>
    <allow-access-from domain="*.iflashigame.com" />
    <allow-access-from domain="192.0.34.166" />
</cross-domain-policy>

注意事项:
      默认情况下,策略文件必须命名为 crossdomain.xml,并且必须位于服务器的根目录中。但是,SWF 文件可以通过调用 Security.loadPolicyFile() 方法检查是否为其它名称或位于其它目录中。跨域策略文件仅适用于从其中加载该文件的目录及其子目录。因此,根目录中的策略文件适用于整个服务器,但是从任 意子目录加载的策略文件仅适用于该目录及其子目录。

      策略文件仅影响对其所在特定服务器的访问。例如,位于 https://www.adobe.com:8080/crossdomain.xml 的策略文件只适用于在端口 8080 通过 HTTPS 对 www.adobe.com 进行的数据加载调用。

2、针对Socket的策略文件

<cross-domain-policy>
   <allow-access-from domain="*" to-ports="507" />
   <allow-access-from domain="*.example.com" to-ports="507,516" />
   <allow-access-from domain="*.example2.com" to-ports="516-523" />
   <allow-access-from domain="www.example2.com" to-ports="507,516-523" />
   <allow-access-from domain="www.example3.com" to-ports="*" />
</cross-domain-policy>

这个策略文件是指定允许哪些域的主机通过那些端口链接。

参考文章

flash xmlsocket policy 问题
Policy file changes in Flash Player 9
Setting up a socket policy file server
Understanding Flash Player 9 April 2008 Security Update compatibility

获取策略文件的Java服务器端代码

import java.io.BufferedReader;
import java.io.BufferedWriter;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.OutputStreamWriter;
import java.net.ServerSocket;
import java.net.Socket;

public class SecurityXMLServer implements Runnable {

   private ServerSocket server;
   private BufferedReader reader;
   private BufferedWriter writer;
   private String xml;
  
   public SecurityXMLServer()
   {
     String path = "policyfile文件路径";
     //此处的换成相应的读取xml文档的方式如dom或sax
     //xml = readFile(path, "UTF-8");
       /**
         注意此处xml文件的内容,为纯字符串,没有xml文档的版本号
        */
     xml="<cross-domain-policy> "
        +"<allow-access-from domain=\"*\" to-ports=\"1025-9999\"/>"
     +"</cross-domain-policy> ";
     System.out.println("policyfile文件路径: " + path);
     System.out.println(xml);
    
     //启动843端口
     createServerSocket(843);
     new Thread(this).start();
   }

   //启动服务器
   private void createServerSocket(int port)
   {
     try {
       server = new ServerSocket(port);
       System.out.println("服务监听端口:" + port);
     } catch (IOException e) {
       System.exit(1);
     }
   }

   //启动服务器线程
   public void run()
   {
     while (true) {
       Socket client = null;
       try {
        //接收客户端的连接
         client = server.accept();

         InputStreamReader input = new InputStreamReader(client.getInputStream(), "UTF-8");
         reader = new BufferedReader(input);
         OutputStreamWriter output = new OutputStreamWriter(client.getOutputStream(), "UTF-8");
         writer = new BufferedWriter(output);

         //读取客户端发送的数据
         StringBuilder data = new StringBuilder();
         int c = 0;
         while ((c = reader.read()) != -1)
         {
           if (c != '\0')
             data.append((char) c);
           else
             break;
         }
         String info = data.toString();
         System.out.println("输入的请求: " + info);
        
         //接收到客户端的请求之后,将策略文件发送出去
         if(info.indexOf("<policy-file-request/>") >=0)
         {
           writer.write(xml + "\0");
           writer.flush();
           System.out.println("将安全策略文件发送至: " + client.getInetAddress());
         }
         else
         {
           writer.write("请求无法识别\0");
           writer.flush();
           System.out.println("请求无法识别: "+client.getInetAddress());
         }
         client.close();
       } catch (Exception e) {
         e.printStackTrace();
         try {
           //发现异常关闭连接
           if (client != null) {
             client.close();
             client = null;
           }
         } catch (IOException ex) {
           ex.printStackTrace();
         } finally {
           //调用垃圾收集方法
           System.gc();
         }
       }
     }
   }
  
   //测试主函数
   public static void main(String[] args)
   {
     new SecurityXMLServer();
   }
}



本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/whlxjq520/archive/2009/01/18/3811442.aspx
分享到:
评论

相关推荐

    Flash与JAVA的Socket通信

    此外,跨域策略是Flash与Java Socket通信的一个重要考虑因素,因为浏览器的安全限制可能阻止跨域访问。解决这个问题通常需要在服务器端设置Access-Control-Allow-Origin头。 综上所述,Flash与Java的Socket通信结合...

    flex+java+tomcat实现socket通信及安全策略

    2.重点解决安全策略问题:将flash发布为html格式后,本地访问页面后,一般可以与服务器进行socket通信;但是部署到tomcat服务器上后无法通信,这是因为flex安全策略引起的;需要在java服务端开通843权限策略,具体看...

    java和as3 socket通信 解决安全沙箱问题

    本篇文章将探讨如何解决AS3中的安全沙箱问题,以便与Java后台进行顺畅的Socket通信。 首先,我们需要了解AS3的安全沙箱模型。AS3的沙箱分为三类:本地信任的沙箱(Local-with-Files)、网络沙箱(Network)和本地...

    flex与java采用socket方式通信

    在Flex与Java之间,Socket通信提供了低级别的网络连接,使得前端能够实时地发送和接收数据。 以下是关于Flex与Java Socket通信的一些关键知识点: 1. **Socket API**:Java的Socket类和ServerSocket类是实现TCP/IP...

    AS与java socket通讯解决安全沙箱

    在这个场景中,我们关注的是ActionScript(AS)与Java之间的Socket通信,以及如何在面临安全沙箱限制时找到解决方案。Socket编程是实现客户端-服务器通信的基础,它允许两个或多个应用程序通过网络交换数据。 首先...

    java与flash通信.pdf

    文档中提到的Socket通信是Java与Flash通信的一种方式。Socket是一种网络通信的端点,允许两台计算机之间进行双向数据交换。在Java中,可以通过创建ServerSocket和Socket类来实现服务器和客户端的通信。ServerSocket...

    FLEX与JAVA通过SOCKET通信

    标题 "FLEX与JAVA通过SOCKET通信" 涉及的是在客户端与服务器之间使用FLEX(Adobe Flex)和JAVA进行Socket通信的技术。Flex是一种开源的、基于MXML和ActionScript的开发框架,用于构建富互联网应用程序(RIA)。Java...

    Flex与Java Socket通信

    Flex与Java Socket通信是Web应用程序开发中的一个重要技术,它允许客户端和服务器之间进行实时、双向的数据交换。在本文中,我们将深入探讨如何实现Flex客户端与Java服务器之间的Socket通信。 首先,确保你拥有以下...

    Flex和java的socket通信

    ### Flex和Java的Socket通信详解 #### 一、引言 在互联网应用开发中,不同技术栈之间的通信是非常重要的一个环节。本篇文章将详细介绍如何利用...希望本文能够帮助您更好地理解和掌握Flex与Java的Socket通信技术。

    flash as3/java socket 聊天室

    - **FlashScoket.java**:这可能是Java服务器端的源代码文件,实现了Socket通信逻辑,处理客户端连接和数据交换。 总结来说,"flash as3/java soket 聊天室"是一个使用AS3作为前端和Java Socket作为后端的实时通信...

    java与flash通信.docx

    本文将重点讨论如何使用Java作为中间桥梁,通过Socket通信来实现Flash与Java之间的数据传输。 Java端实现了一个简单的单线程服务器,它监听特定的端口(例如10086),并等待来自Flash客户端的连接。服务器的核心...

    flash 843安全策略文件 java版本

    标题中的“flash 843安全策略文件 java版本”指的是在Flash开发中,为了实现Flash Player与服务器之间的Socket通信,必须遵循的安全策略。Flash Player在默认情况下不允许跨域访问,即不能连接到不同源的服务器。...

    java与flash通信.docx编程资料

    为了解决这些问题,本文提出了一种基于Socket通信的方式,通过Java作为中间层来实现Flash与外部系统的交互。 #### 三、Java与Flash通信的基本原理 Java与Flash之间的通信主要依赖于Socket协议。Socket是一种双向的...

    flash+java通信例子

    3. **Socket通信**:如果需要进行低级别的双向通信,Flash和Java可以通过TCP或UDP套接字进行直接通信。但这需要在服务器端开放特定的端口,并处理跨域安全问题。 4. **AMF(Action Message Format)**:这是一种二...

    Flex_AS3与Java的Socket通信

    在本文中,我们将深入探讨Flex AS3与Java的Socket通信技术,这是一种允许Web应用程序(如Flash游戏)与服务器进行低级数据传输的方法。Flex AS3是Adobe开发的ActionScript 3.0编程语言的一个框架,它提供了丰富的...

    java_and_flash.rar_flash java_java flash

    2. **Socket通信**: Java Applet可以直接通过Socket与服务器通信,Flash也可以通过Flash Player的Socket类进行网络通信。通过在服务器端设置一个中间代理,Java和Flash可以进行双向的Socket通信。这种方式提供了更...

    flex与java通信

    Socket通信是一种低级别的网络通信机制,允许应用程序之间直接建立TCP/IP连接,进行高效的数据传输。 以下是Flex与Java通信的关键知识点: 1. **ActionScript与Java的交互**:在Flex中,通常使用AMF(Action ...

    javaCV将socket获取的视频流推到流媒体(RTMP)服务器jar

    JavaCV 是一个强大的Java库,它为Java程序员提供了与计算机视觉和媒体处理相关的各种框架的接口,如OpenCV、FFmpeg等。在这个场景中,JavaCV被用来从Socket接收视频流,然后将其推送到流媒体服务器,特别是使用RTMP...

Global site tag (gtag.js) - Google Analytics