[转]理解Flash Player 10.1和AIR 2中的安全更改

http://www.infoq.com/cn/vendorcontent/show.action?vcr=1170

 

要求

用户级别

中级

注：本文仅针对开发人员。在 Adobe Flash Player 装机方面有疑问的客户应在 Flash Player 支持中心 上进行检修。

Adobe Flash Player 10.1 和 Adobe AIR 2 提供多种新功能和增强功能，以及部分之前操作的更改。部分更改可能偶尔要求对已有内容进行更新，以符合更加严格的安全规则的要求。其他更改引入了在之前不可用或者受到安全规则限制的新能力。

请阅读下列关于 Flash Player 10.1 和 AIR 2 中与安全相关的更改。使用此列表确定您是否需要对已有内容进行更改，以使其可以在该 Flash Runtime 版本中正常工作。

• 可能需要行动的更改
• 与安全相关的可用新功能

可能需要行动的更改

• 重定向的 URL 截断
• 剪贴板清除 UIA
• for-in 和 for-each 迭代顺序

该部分描述了需要您更新已有内容的更改。Adobe 非常谨慎地将对已有内容的干扰降到了最低限度，我们相信本文中提到的所有问题将仅对已有内容的一小部分造成影响。

重定向的 URL 截断

在部分情况下，加载 SWF、图像或声音文件后，ActionScript 可能无法看到加载文件的完整 URL。

这种限制影响 ActionScript 3 属性 LoaderInfo.url 和 Sound.url，以及 ActionScript 1 / ActionScript 2 属性 MovieClip._url。当无法显示完整的 URL 时，这些属性将仅显示 URL 的域名部分；如，http://www.example.com/path/my.swf 将被截断为 http://www.example.com/。ActionScript 3 代码可以通过引用名为 LoaderInfo.isURLInaccessible 和 Sound.isURLInaccessible 的新 Boolean 属性检测到截断。在 AS1/AS2 中无 API 可以显示截断。

仅当全部满足下列三个条件时 URL 才被截断：加载文件时发生 HTTP 重定向，文件与调用程序来自不同的域，以及调用程序无可以访问加载文件的许可。

访问加载文件（和其完整 URL）的许可取决于文件类型并使用已有许可机制。访问 SWF 文件的许可在加载 SWF 文件调用 Security.allowDomain（ActionScript 3）或 System.security.allowDomain（ActionScript 1 / ActionScript 2）时被批准。访问图像和声音文件的许可在文件的服务器包含一个策略文件许可访问时被批准。需要访问完整图像或声音 URL 的 ActionScript 3 调用程序需要确保通过将 LoaderContext.checkPolicyFile 或 SoundLoaderContext.checkPolicyFile 设置为“真”预加载策略文件。

什么受影响？

该更改可能会影响任何引用 LoaderInfo.url、Sound.url 或 MovieClip._url 属性的 SWF 文件。该更改影响所有在 Flash Player 10.1 或之后版本中显示的 SWF 文件。该更改影响所有 Adobe AIR 2 或之后版本中的非应用程序内容（但是，AIR 应用程序内容不受影响）。

我需要做什么？

开发人员需要使用 Flash Player 10.1 测试其内容。如果 URL 截断有负效应，开发人员将需要使用 allowDomain 或上面描述的策略文件机制，更新其 SWF 内容以支持截断 URL，或者获得访问加载文件的许可。

剪贴板清除 UIA

在 Flash Player 中，响应用户发起的行动（鼠标点击，键盘输入等）时，SWF 文件可能会仅清除系统 Clipboard。这种限制影响 ActionScript 3 方法 Clipboard.generalClipboard.clear() 和 Clipboard.generalClipboard.clearData()。

此更改反映了这样一个事实：清除 Clipboard 是写入 Clipboard 的一种形式。对于几个版本来说，写入 Clipboard 需要 UIA，如 本开发人员文章 中所述。

什么受影响？

该更改可能会影响任何调用 Clipboard.generalClipboard.clear() 或 Clipboard.generalClipboard.clearData() 方法的 SWF 文件。该更改影响所有在 Flash Player 10.1 或之后版本中显示的 SWF 文件。该更改影响所有 Adobe AIR 2 或之后版本中的非应用程序内容（但是，AIR 应用程序内容不受影响）。

我需要做什么？

开发人员需要使用 Flash Player 10.1 测试其内容。如果 UIA 要求有负效应，开发人员将需要更新其内容，以仅在响应用户输入事件时清除 Clipboard。

for-in 和 for-each 佚代顺序

当 ActionScript 3 代码使用一个 for-in 或 for-each 循环程序在 Object 的属性之间进行佚代时，访问属性的顺序可能偶尔与之前 Flash Player 版本的顺序不同。

想象两种不同类型的 Object 属性名称：简单的和复杂的。大多数情况下，简单属性名称是整数，而复杂属性名称是字符串。但是，也有可能使用任何值作为属性名称——因此，出于完整性目的考虑，Boolean、空和不确定值是简单的属性名称；所有其他类型，包括对象和非整数数值，是复杂属性名称。例如：

var obj : Object = new Object(); 
obj[0] = "a"; // 简单属性名称（整数） 
obj["one"] = "b"; // 复杂属性名称（字符串） 
obj.two = "c"; // 复杂属性名称（字符串）

仅在 Object 有两种类型的属性（简单和复杂）时，for-in 和 for-each 顺序将发生更改。上述示例中的 Object 有两种类型的属性，因此其 for-in 和 for-each 顺序在该 Flash Player 版本中将发生更改。特定更改是首先将访问所有简单属性名称，然后访问所有复杂属性名称。

根据 ActionScript 3 语言参考 中所述，for-in 和 for-each 佚代顺序未定，因此，希望大部分 ActionScript 3 代码不依据未发生更改的佚代顺序。

什么受影响？

该更改可能会影响任何使用 for-in 或 for-each 循环程序的 ActionScript 3 SWF 文件。该更改影响所有在 Flash Player 10.1 或之后版本中显示的 SWF 文件。该更改影响所有 Adobe AIR 2 或之后版本中的内容（既包括应用程序内容也包括非应用程序内容）。

我需要做什么？

开发人员需要使用 Flash Player 10.1 或 AIR 2 测试其内容。如果 for-in 或 for-each 佚代顺序有负效应，开发人员将需要更新其内容，以独立于佚代顺序运行。

与安全相关的可用新功能

该部分介绍新功能。除非您需要使用新功能，负责无须任何行动。

装载环境，循序代码进入

在 Flash Player ActionScript 3 API 中，加载 SWF 文件的方法与加载图像文件（JPEG、PNG 和 GIF）的方法相同。部分情况下，可以加载图像并确保不可能加载 SWF 文件。其中一种极其重要的情况是沙盒导入：从另一个可能不受信任的域导入一个图像文件，并将其重新分配到加载程序的安全域中。导入一个不受信任的图像文件通常情况是无害的，因为不受支持的图像文件格式无法包含可执行代码，但是导入一个不受信任 SWF 文件可能会更加危险。

有两种 Flash Player 方法可以执行沙盒导入。两种方法均仅在 ActionScript 3 中可用。第一种方法是 Loader.loadBytes，从 ActionScript 中取得原始二进制数据，并将其作为展示媒体加载。第二种方法是 Loader.load，其中 LoaderContext.securityDomain = SecurityDomain.currentDomain，从 URL 加载媒体。

对于 Flash Player 10.1 和 AIR 2，您可以通过指定 LoaderContext.allowCodeImport = false 限制两种方法仅加载图像。以下是使用 loadBytes 的部分示例代码：

var ld : Loader = new Loader();
ld.contentLoaderInfo.addEventListener("complete", onLoadComplete);
ld.contentLoaderInfo.addEventListener("securityError", onSecurityError);
var lc : LoaderContext = new LoaderContext();
lc.allowCodeImport = false;
ld.loadBytes(myByteArray, lc);

如果当您为导入操作设置 LoaderContext.allowCodeImport = false 时要加载的内容是 SWF 文件，将分派一个 SecurityError 事件，显示错误 3226：

"Cannot import a SWF file when LoaderContext.allowCodeImport is false."

请注意：LoaderContext.allowCodeImport 仅影响执行沙盒导入的情况——因此，例如，一个普通的 Loader.load 操作将总是可以加载 SWF 文件或图像文件，即便 LoaderContext.allowCodeImport = false。

LoaderContext.allowCodeImport 是一个较早的名为 LoaderContext.allowLoadBytesCodeExecution 的仅 AIR 属性的概括。在 AIR 中，两个属性现在是同义词。在 AIR 中，LoaderContext.securityDomain 属性不受支持，因此在 AIR 中执行沙盒导入的唯一方法是 Loader.loadBytes，这就是旧的仅 AIR 属性名为 allowLoadBytesCodeExecution 的原因。新属性名称 LoaderContext.allowCodeImport 是首选，因为它在 Flash Player 同样受支持。

SWF 文件将图像文件导入其自己的沙盒有两个常见原因。首先是 Loader.loadBytes 支持动态图像处理和复制。其次是导入将删除安全限制，如检查像素值或调用 BitmapData.draw。

注：导入图像首先总是需要一个策略文件——因此，这仅仅是一种将安全检测移至较早阶段的方法。

后续工作

关于 Flash Player 安全的最新发展，请访问 安全话题中心。Adobe 为每个 Flash Player 版本都发布了一篇类似本文的文章。

您也可以从 Flash Player 下载中心 下载 Flash Player 10.1。