`
rayln
  • 浏览: 434189 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

Flash Socket安全问题的全面解析

    博客分类:
  • Flex
阅读更多
来自JavaEyes上善若水的文章
http://cloud21.iteye.com/blog/617751


Flash Socket安全问题的全面解析

文章分类:Flash编程
昨天做测试的时候遇到一个问题,做好的SWF在Flash AS3中调试通过,但是发布到html中之后就无法得到数据了。查了一些资料之后找到了解决办法。

1、问题描述

   将flash发布为html格式后,加载页面后,swf无法与服务器进行socket通信。Flash端显示的错误为:
securityErrorHandler信息: [SecurityErrorEvent type="securityError" bubbles=false cancelable=false eventPhase=2 text="Error #2048"]

   在服务器端显示的信息是由客户端尝试进行连接,但是无法接受数据。接受的数据显示为空。

2.问题原因:

       最新的Flash player 9.0.124.0,当flash文件要进行socket通信的时候,需要向服务器端获取crossdomain.xml文件。如果找不到就出现客户端无法连接服务器的现象。

了解flash发起socket通信的三个过程

   当封装在页面的flash发起socket通信请求的时候会先寻找服务器端的843端口,获取Crossdomain.xml文件,当服务器没有开启 843的时候,flashPlayer会检查发起请求的swf文件中中有没有使用Security.loadPolicyFile来加载策略文件 Crossdomain.xml,如果还是没有就会看这个发起请求的swf要连接的目标端口有没有策略文件。如果都没有那么连接失败,返回如上的出错提 示。

为什么老版本的Flash player没有这个问题?

   从一些官方的一些资料中了解了一下。以前的Flash Player无论你采用urlRequest的http请求方式或者xmlsocket socket方式,他们都共用一个安全策略文件。这个策略文件只要你放在主域的目录下就行了。而现在不行了,现在的策略文件如果你使用http请求方式那 么需要把策略文件放在目录下面,如果你使用socket请求方式就必须通过socket端口来接收这个策略文件。

   对应调用的方式为:
   http请求——》Security.loadPolicyFile(“http://www.xxx.com/crossdomain.xml”)
   socket或xmlsocket请求——》Security.loadPolicyFile(“xmlsocket://www.xxx.com:port”)

怎么将Socke策略文件发给Flash Player

   Flash Player在你的socket.connect("domain",port)运行之前,会按照前面描述的三个过程向你的socket服务器的843端口(据说Adobe已经向相关管理机构申请保留843端口给Flash Player用)发送一个字符串 "<policy-file-request/>",这个时候如果你有一个服务在监听843端口那么收到这个字符串之后,直接按照XML格式发回策略文件就解决了。(注意发回的时候记得加一个截止字符"\0")

当然你也可以不用843端口自己设置一个端口。因为Flash Player如果在843端口得不到信息,就会检查你是否在你的Flash文件里面自己添加了指定的获取通道,你可以定义一个自己的端口。不过这个时候你 不能用http方式,而要用xmlsocket方式。(相当于自动帮你新建了一个xmlsocket对象, 然后链接你指定的主机和端口)。比如你想用1234端口可以在你的Flash里面加这一句 Security.loadPolicyFile(“xmlsocket://www.xxx.com:1234”),需要注意的是这一句要加在你的 socket.connect前面。

还有最后一个办法,就是在你的socket连接端口监听这个请求。比如你用的是 socket.connect("192.168.1.100",8888),那么在你的服务器加一段接收字符串"<policy-file- request/>"的代码,当接到这个字符串时将策略文家按照xml格式发到客户端。

关于策略文件的格式(可以在Flash CS3帮助里面的Flash Player安全性——》控制权限概述中找到)

1、针对web应用的策略文件

下面的示例显示了一个策略文件,该文件允许访问源自 *.iflashigame.com 和 192.0.34.166 的 SWF 文件。

<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*.iflashigame.com" />
<allow-access-from domain="192.0.34.166" />
</cross-domain-policy>

注意事项:
   默认情况下,策略文件必须命名为 crossdomain.xml,并且必须位于服务器的根目录中。但是,SWF 文件可以通过调用 Security.loadPolicyFile() 方法检查是否为其它名称或位于其它目录中。跨域策略文件仅适用于从其中加载该文件的目录及其子目录。因此,根目录中的策略文件适用于整个服务器,但是从任 意子目录加载的策略文件仅适用于该目录及其子目录。

   策略文件仅影响对其所在特定服务器的访问。例如,位于 https://www.adobe.com:8080/crossdomain.xml 的策略文件只适用于在端口 8080 通过 HTTPS 对 www.adobe.com 进行的数据加载调用。

2、针对Socket的策略文件

<cross-domain-policy>
<allow-access-from domain="*" to-ports="507" />
<allow-access-from domain="*.example.com" to-ports="507,516" />
<allow-access-from domain="*.example2.com" to-ports="516-523" />
<allow-access-from domain="www.example2.com" to-ports="507,516-523" />
<allow-access-from domain="www.example3.com" to-ports="*" />
</cross-domain-policy>

这个策略文件是指定允许哪些域的主机通过那些端口链接。

参考文章

flash xmlsocket policy 问题
Policy file changes in Flash Player 9
Setting up a socket policy file server
Understanding Flash Player 9 April 2008 Security Update compatibility

获取策略文件的Java服务器端代码

Java代码
import java.io.BufferedReader; 
import java.io.BufferedWriter; 
import java.io.IOException; 
import java.io.InputStreamReader; 
import java.io.OutputStreamWriter; 
import java.net.ServerSocket; 
import java.net.Socket; 
 
public class SecurityXMLServer implements Runnable { 
 
private ServerSocket server; 
private BufferedReader reader; 
private BufferedWriter writer; 
private String xml; 
 
public SecurityXMLServer()  

    String path = "policyfile文件路径"; 
    //此处的换成相应的读取xml文档的方式如dom或sax  
    //xml = readFile(path, "UTF-8"); 
   /**
      注意此处xml文件的内容,为纯字符串,没有xml文档的版本号
       */ 
    xml="<cross-domain-policy> " 
       +"<allow-access-from domain=\"*\" to-ports=\"1025-9999\"/>" 
    +"</cross-domain-policy> "; 
    System.out.println("policyfile文件路径: " + path); 
    System.out.println(xml); 
    
    //启动843端口 
    createServerSocket(843); 
    new Thread(this).start(); 

 
//启动服务器 
private void createServerSocket(int port) 

    try { 
   server = new ServerSocket(port); 
   System.out.println("服务监听端口:" + port); 
    } catch (IOException e) { 
   System.exit(1); 
    } 

 
//启动服务器线程 
public void run() 

    while (true) { 
   Socket client = null; 
   try { 
       //接收客户端的连接 
      client = server.accept(); 
 
      InputStreamReader input = new InputStreamReader(client.getInputStream(), "UTF-8"); 
      reader = new BufferedReader(input); 
      OutputStreamWriter output = new OutputStreamWriter(client.getOutputStream(), "UTF-8"); 
      writer = new BufferedWriter(output); 
 
      //读取客户端发送的数据 
      StringBuilder data = new StringBuilder(); 
      int c = 0; 
      while ((c = reader.read()) != -1) 
      { 
          if (c != '\0') 
         data.append((char) c); 
          else 
         break; 
      } 
      String info = data.toString(); 
      System.out.println("输入的请求: " + info); 
       
      //接收到客户端的请求之后,将策略文件发送出去 
      if(info.indexOf("<policy-file-request/>") >=0) 
      { 
          writer.write(xml + "\0"); 
          writer.flush(); 
          System.out.println("将安全策略文件发送至: " + client.getInetAddress()); 
      } 
      else 
      { 
          writer.write("请求无法识别\0"); 
          writer.flush(); 
          System.out.println("请求无法识别: "+client.getInetAddress()); 
      } 
      client.close(); 
   } catch (Exception e) { 
      e.printStackTrace(); 
      try { 
          //发现异常关闭连接 
          if (client != null) { 
         client.close(); 
         client = null; 
          } 
      } catch (IOException ex) { 
          ex.printStackTrace(); 
      } finally { 
          //调用垃圾收集方法 
          System.gc(); 
      } 
   } 
    } 

 
//测试主函数 
public static void main(String[] args) 

    new SecurityXMLServer(); 

分享到:
评论

相关推荐

    FlashSocket与C#通讯

    4. **安全性和跨域问题**:由于浏览器的安全策略,FlashSocket需要设置crossdomain.xml文件,允许特定的源进行通信。同时,C#服务器也需要处理跨域请求。 5. **协议设计**:在实际应用中,客户端和服务器需要定义...

    flash actionscript3游戏开发之as3的socket通信方式介绍即使用XMLSocket.zip

    5. 问题处理:在数据传输过程中,可能会遇到各种问题,如网络延迟、数据包丢失或错误的数据解析。开发者需要编写健壮的错误处理代码,确保在网络不稳定时也能保持游戏的正常运行。例如,可以使用心跳机制来检测连接...

    flash游戏制作常用代码解析

    在IT行业中,Flash曾是创建...总的来说,“Flash游戏制作常用代码解析”涵盖了从基础语法到高级特性的全面内容,是学习和提升Flash游戏开发技能的重要资源。通过深入理解和实践,你将能够创造出自己的精彩Flash游戏。

    ActionScript 3.0安全沙箱及相关问题资料

    《Flash Socket安全问题的全面解析》文档可能涵盖了Flash中的Socket通信如何受到安全沙箱限制的内容。在ActionScript 3.0中,使用Socket类进行低级别网络通信时,需要特别注意沙箱限制,因为默认情况下,Socket通信...

    java_and_flash.rar_flash java_java flash

    不过这种方式受限于JavaScript的安全策略,数据传输可能存在安全性问题。 2. **Socket通信**: Java Applet可以直接通过Socket与服务器通信,Flash也可以通过Flash Player的Socket类进行网络通信。通过在服务器端...

    全flash网站源码+说明

    标题 "全flash网站源码+说明" 暗示了这是一个包含完整Flash网站开发源代码的资源,适合那些想要创建或学习如何构建基于Flash技术的网站的用户。Flash是一种曾经广泛用于网页设计和动画制作的技术,它允许开发者创建...

    C# Socket单端口多种通讯协议服务

    3. **Flex策略**:Flex策略通常指的是Adobe Flex应用程序使用的Flash跨域策略文件,用于允许Flash内容与不同源的服务器进行通信。在C#服务器端,可能需要处理这些策略文件的请求。 4. **Fast中间件**:这个标签可能...

    flex与socket之间的通信

    服务器端通常会有一个事件驱动的架构,监听Socket的输入流,当有新数据到来时,解析数据并广播给其他在线用户。 为了提高性能和减少延迟,聊天应用可能会使用推送技术,如Comet或WebSocket。WebSocket是一种在单个...

    个人收集flash完整,专业教程!

    《全面解析:Flash专业教程全集》 Flash,这一曾经风靡全球的动画与交互设计工具,曾是互联网上多媒体内容的重要载体。本教程集合了从基础到高级,从入门到精通的全方位Flash学习资源,旨在帮助有志于掌握Flash编程...

    flash与.net交互

    4. **显示数据**:一旦数据在Flash中解析完成,它可以被绑定到舞台上的文本字段、动态图像或其他动态元素,从而在用户界面上实时显示数据。 5. **反馈交互**:用户在Flash中的操作也可以通过ActionScript编码,将...

    flash+java通信例子

    但这需要在服务器端开放特定的端口,并处理跨域安全问题。 4. **AMF(Action Message Format)**:这是一种二进制数据格式,常用于Flash与服务器之间的高效数据交换。Java可以通过开源库如BlazeDS或Red5来处理AMF...

    flex与java采用socket方式通信

    2. **ActionScript Socket类**:在Flex中,我们使用Flash的Socket类来建立与Java服务器的连接,通过open()方法指定服务器的IP地址和端口号,然后可以使用writeUTFBytes()和readUTF()等方法进行数据的读写。...

    个性车轮风格flash+xml+php整站源码flash素材下载

    7. **数据交换**:Flash与PHP之间的数据交换通常通过XML Socket或AMF(Action Message Format)协议进行,使得动态数据如用户输入、实时信息等能实时更新到Flash界面。 8. **开发与调试**:对于开发者来说,了解...

    经典的Flash播放器源码

    总结而言,通过对这个经典的Flash播放器源码的学习,你可以深入了解ActionScript编程、SWF文件解析、网络通信、多媒体处理、安全机制以及事件驱动编程等多个关键领域的知识。这不仅有助于提高你的编程技能,还能让你...

    Develooping Flash Chat v1.2(Flash 聊天室)

    Flash Chat v1.2可能采用了Socket或XMLSocket技术进行实时数据交换,使得用户之间能够即时发送和接收消息。此外,考虑到并发性和效率,可能还运用了服务器端的技术,如PHP、Java或ASP.NET,来处理多用户的数据同步和...

    Flash+ASP在线bbs

    10. **部署与维护**:部署这个系统需要配置合适的Web服务器环境,如IIS或Apache,同时还需要对服务器进行定期维护和更新,以应对可能出现的技术问题和安全挑战。 以上就是关于"Flash+ASP在线bbs"项目的主要知识点,...

    自学flashas3.0书籍

    除此之外,本书还将涉及网络通信,如XML、JSON数据的解析,以及与服务器的Socket通信。这对于开发基于Web的应用程序至关重要,能帮助你实现动态数据交换和实时通信功能。 在游戏开发方面,ActionScript 3.0提供了...

    flash小例子和简单的交互设计

    在IT行业中,Flash曾是创建动态内容、交互式应用程序和在线多媒体内容的首选工具,而ActionScript3.0则是Flash平台的核心编程语言。这个“flash小例子和简单的交互设计”压缩包显然包含了若干个使用ActionScript3.0...

    flash as语言教程

    总结来说,《Flash AS语言教程》全面覆盖了AS2.0的核心概念和实际应用,对于想要学习或提升ActionScript编程能力的开发者来说,是一份非常宝贵的资源。通过深入学习和实践,你将能够利用AS2.0的强大功能,创造出更具...

    Flash ActionScript 3.0学习指南

    总之,《Flash ActionScript 3.0学习指南》将引导你全面掌握ActionScript 3.0的各个方面,无论你是初学者还是有经验的开发者,都能从中受益。通过深入学习和实践,你将能够利用ActionScript 3.0和Flex框架创造出令人...

Global site tag (gtag.js) - Google Analytics