`
xiao_feng68
  • 浏览: 104884 次
  • 性别: Icon_minigender_1
  • 来自: 济南
社区版块
存档分类
最新评论

(XF - 10)Flex 沙箱安全(转)

    博客分类:
  • Flex
阅读更多
下载flexpaper源码修改后做成swf阅读器,要加入待阅读的swf文件,可以在flex里调用js的方法来获取swf文件的路径的方法,在js只专注获取路径就行,等着flex来调用:但这里会遇到一个问题那就是出现安全问题,如下的提示: Error #2044: 未处理的 onDocumentLoadedError:。 text=Error #2048: 安全沙箱冲突:http://localhost:8080/UpLoadAndDownLoad/FlexPaper.swf 不能从 http://127.0.0.1:8080/MyFileConvert/ConvertFile/application1/2.swf 加载数据。这个是由flash的跨域传输数据的安全问题所引起的,当我在tomcat的webapps/ROOT目录里加入如下文件时就可以解决这个安全问题所引去的swf的文件的不能用的问题,不过这里是将swf文件公开给所有的IP访问,所以有安全问题:


Xml代码
<?xml version="1.0" encoding="UTF-8"?> 
<cross-domain-policy> 
<allow-access-from domain="*"/> 
</cross-domain-policy> 

<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="*"/>
</cross-domain-policy> 


下面转载一下关于跨域问题的内容:



关于跨域策略文件crossdomain.xml文件


http://www.xiaonei.com/crossdomain.xml

<!– http://www.xiaonei.com/ –>
Xml代码
<?xml version="1.0" encoding="UTF-8"?> 
<cross-domain-policy> 
    <allow-access-from domain="*.xiaonei.com" /> 
    <allow-access-from domain="xiaonei.com" /> 
</cross-domain-policy> 

<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="*.xiaonei.com" />
<allow-access-from domain="xiaonei.com" />
</cross-domain-policy>


这是很标准的做法,我就让我自己的域以及我的子域来获取数据。

淘宝的:

http://www.taobao.com/crossdomain.xml

Xml代码
<?xml version="1.0" encoding="UTF-8"?> 
<cross-domain-policy> 
    <allow-access-from domain="*.taobao.com" /> 
    <allow-access-from domain="*.taobao.net" /> 
    <allow-access-from domain="*.taobaocdn.com" /> 
    <allow-access-from domain="*.allyes.com" /> 
</cross-domain-policy> 

<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="*.taobao.com" />
<allow-access-from domain="*.taobao.net" />
<allow-access-from domain="*.taobaocdn.com" />
<allow-access-from domain="*.allyes.com" />
</cross-domain-policy> 
红色的一行是淘宝的CDN所在的域,所谓内容分发网络。

绿色的一行是淘宝的广告商了,http://www.allyes.com/好耶广告网络,只是不清楚是不是仍然再卖淘宝的广告?

多看几个大网站的crossdomain.xml,也可以知道可能是什么网络广告商给它们在打广告。

比如彭博:http://www.bloomberg.com/crossdomain.xml

Xml代码
<?xml version="1.0" encoding="UTF-8"?> 
<cross-domain-policy> 
    <allow-access-from domain="localhost" /> 
    <allow-access-from domain="10.16.136.107"/> 
    <allow-access-from domain="*.bloomberg.com" /> 
    <allow-access-from domain="*.pointroll.com" /> 
    <allow-access-from domain="*.pointroll.net" /> 
</cross-domain-policy> 

<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="localhost" />
<allow-access-from domain="10.16.136.107"/>
<allow-access-from domain="*.bloomberg.com" />
<allow-access-from domain="*.pointroll.com" />
<allow-access-from domain="*.pointroll.net" />
</cross-domain-policy> 
红色的就太不专业了,把内部IP都给暴露了。。。。。。

绿色的是彭博的广告商:PointRoll

路透的:

http://www.reuters.com/crossdomain.xml

Xml代码
<?xml version="1.0" encoding="UTF-8"?> 
<cross-domain-policy> 
    <allow-access-from domain="*.reuters.com" secure="false" /> 
    <allow-access-from domain="ad.doubleclick.net" 
        secure="false" /> 
    <allow-access-from domain="ad.uk.doubleclick.net" 
        secure="false" /> 
    <allow-access-from domain="m.2mdn.net" secure="false" /> 
    <allow-access-from domain="m2.2mdn.net" secure="false" /> 
</cross-domain-policy> 

<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="*.reuters.com" secure="false" />
<allow-access-from domain="ad.doubleclick.net"
secure="false" />
<allow-access-from domain="ad.uk.doubleclick.net"
secure="false" />
<allow-access-from domain="m.2mdn.net" secure="false" />
<allow-access-from domain="m2.2mdn.net" secure="false" />
</cross-domain-policy> 
广告给了doubleclick来做(绿色)

2mdn.net看不懂是干嘛的,大概是个cdn吧。

滥情的facebook:

http://www.facebook.com/crossdomain.xml

Xml代码
<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd"> 
<cross-domain-policy> 
    <site-control permitted-cross-domain-policies="master-only" /> 
    <allow-access-from domain="s-static.facebook.com" /> 
    <allow-access-from domain="static.facebook.com" /> 
    <allow-access-from domain="static.api.ak.facebook.com" /> 
    <allow-access-from domain="*.static.ak.facebook.com" /> 
    <allow-access-from domain="s-static.thefacebook.com" /> 
    <allow-access-from domain="static.thefacebook.com" /> 
    <allow-access-from domain="static.api.ak.thefacebook.com" /> 
    <allow-access-from domain="*.static.ak.thefacebook.com" /> 
    <allow-access-from domain="*.static.ak.fbcdn.com" /> 
    <allow-access-from domain="external.ak.fbcdn.com" /> 
    <allow-access-from domain="*.static.ak.fbcdn.net" /> 
    <allow-access-from domain="external.ak.fbcdn.net" /> 
    <allow-access-from domain="www.facebook.com" /> 
    <allow-access-from domain="www.new.facebook.com" /> 
    <allow-access-from domain="register.facebook.com" /> 
    <allow-access-from domain="login.facebook.com" /> 
    <allow-access-from domain="ssl.facebook.com" /> 
    <allow-access-from domain="secure.facebook.com" /> 
</cross-domain-policy> 

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<site-control permitted-cross-domain-policies="master-only" />
<allow-access-from domain="s-static.facebook.com" />
<allow-access-from domain="static.facebook.com" />
<allow-access-from domain="static.api.ak.facebook.com" />
<allow-access-from domain="*.static.ak.facebook.com" />
<allow-access-from domain="s-static.thefacebook.com" />
<allow-access-from domain="static.thefacebook.com" />
<allow-access-from domain="static.api.ak.thefacebook.com" />
<allow-access-from domain="*.static.ak.thefacebook.com" />
<allow-access-from domain="*.static.ak.fbcdn.com" />
<allow-access-from domain="external.ak.fbcdn.com" />
<allow-access-from domain="*.static.ak.fbcdn.net" />
<allow-access-from domain="external.ak.fbcdn.net" />
<allow-access-from domain="www.facebook.com" />
<allow-access-from domain="www.new.facebook.com" />
<allow-access-from domain="register.facebook.com" />
<allow-access-from domain="login.facebook.com" />
<allow-access-from domain="ssl.facebook.com" />
<allow-access-from domain="secure.facebook.com" />
</cross-domain-policy> 
这么多!有子域,有CDN,有thefacebook(facebook的旧域名吧?)

还是google的专业:

Xml代码
<?xml version="1.0"?> 
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd"> 
<cross-domain-policy> 
    <site-control permitted-cross-domain-policies="by-content-type" /> 
</cross-domain-policy> 

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<site-control permitted-cross-domain-policies="by-content-type" />
</cross-domain-policy> 
蓝色行的意思是,要符合要求的文件你才能取,不管你是哪来的flash数据请求。符合要求的文档必须满足:Content-Type: text/x-cross-domain-policy



另:



当Flex访问WebService服务时,在本地能够正常访问,当部署到web容器中发布为web服务后,再调用WebServicIE,此时就会被拒绝访问,这就是Flex跨域访问的沙箱问题,为了解决Flex跨域访问WebService的问题,可采用如下方案:首先,跨域访问被拒绝是因为提供服务方没有配置安全策略文件,即crossdomain.xml,如果你不想用crossdomain.xml就要用到代理,即自己写一个后台读取webservice,然后提供给自己的flex应用,因为在flashplayer中,要跨域必须要有策略文件。考虑到 flashplayer升级到9.124之后,加强了安全性,之前的crossdomain.xml的写法发生了变化,以下就是该文件的完整写法:
Xml代码 <?xml version="1.0"?>  <!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">  <cross-domain-policy>      <allow-access-from domain="*" />      <allow-http-request-headers-from domain="*" headers="*" />  </cross-domain-policy>  <?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<allow-access-from domain="*" />
<allow-http-request-headers-from domain="*" headers="*" />
</cross-domain-policy>
表示该服务允许任何外域来访问。关于crossdomain.xml的放置目录问题,有如下解决方案,可放置在:1) 如果这个目录是容器的根目录,可以通过以下的url访问crossdomain.xml: http://localhost:8080/crossdomain.xml 。2) 如果crossdomain.xml不是放在根目录下,而是在某个webapp下面,在flex中就需要在初始化的时候应用 Security.loadPolicyFile("http:// localhost:8080/aaa /crossdomain.xml"); 其中aaa为webapp的名称


分享到:
评论

相关推荐

    FLEX安全沙箱实用指南

    ### FLEX安全沙箱实用指南 #### 一、引言 在进行FLEX开发时,了解和掌握FLEX的安全沙箱机制对于确保应用程序的安全性至关重要。本文将详细介绍FLEX安全沙箱的相关概念及其应用场景,帮助开发者更好地理解如何在...

    电信设备-克服flex安全沙箱限制的视频像素信息采集存储的方法.zip

    "克服flex安全沙箱限制的视频像素信息采集存储的方法"是一个关键的技术议题,主要涉及的是如何在受到Adobe Flex安全沙箱限制的环境中有效地获取和存储视频帧的像素数据。Flex是一种基于ActionScript 3的开放源代码...

    flex 沙箱安全问题

    ### flex沙箱安全问题 #### 一、概述 在Flex应用程序开发过程中,远程对象(RemoteObject)服务常常被用于客户端与服务器之间的数据交互。但在实际应用中,由于跨域策略的限制,可能会遇到Error #2048这样的错误...

    行业资料-交通装置-一种沙箱吊车平衡杆.zip

    行业资料-交通装置-一种沙箱吊车平衡杆.zip

    全面认识Flex安全沙箱

    Flex安全沙箱是Adobe Flex应用程序在运行时遵循的一套安全机制,旨在保护用户的数据和系统安全。这个概念是在Flex 4之后尤其受到关注,因为当时在Internet Explorer中出现了与安全沙箱相关的挑战。沙箱模型类似于...

    flex 安全沙箱 策略问题 demo

    在Adobe Flash Player升级到9.0.124后,由于安全策略更改,原来Socket或XmlSocket的应用里的http方式加载安全策略的手段不能继续使用。...connectbysocket 是flex客户端 connectbysocket请放在tomcat下试验效果

    flex 开发实例 用于flex 沙箱的控制

    在这个“Flex开发实例 用于Flex沙箱的控制”中,我们将深入探讨如何利用Flex技术来管理和控制沙箱环境,以确保在富客户端中的安全运行。 Flex沙箱是Flex应用程序运行时的一个核心组件,它模仿了Adobe Flash Player...

    Flex 安全沙箱问题 简单处理方法

    Flex安全沙箱问题是一个在开发基于Adobe Flex的应用程序时经常遇到的问题。Flex作为一个富互联网应用程序(RIA)框架,它使用ActionScript和MXML进行编程,而这些代码在运行时受到安全沙箱的限制,以防止恶意行为。...

    如何编写一个前端框架之三-代码运行沙箱1

    本章节探讨的是在创建前端框架时如何实现代码运行的沙箱机制,以确保代码的安全执行和防止潜在的安全风险,比如代码注入。 首先,我们讨论的是`eval()`函数,这是一个能够直接执行字符串形式的JavaScript代码的危险...

    ArcGIS API for Flex开发WebGIS中的安全沙箱问题

    在使用ArcGIS API for Flex开发WebGIS应用时,安全沙箱问题是一个重要的考虑因素,它涉及到数据的安全性和应用程序的跨域访问控制。Flex是Adobe Flash平台的一部分,用于创建丰富的互联网应用,而ArcGIS API for ...

    flex本地安全域设置

    本篇将详细介绍如何通过“flex本地安全域设置”来解决Flex安全沙箱的问题,以及为何无需到Adobe官网设置全局安全域。 1. **Flex安全沙箱**:Flex应用运行在两种安全沙箱中,分别是“本地trusted”和“网络sandbox”...

    源于FLEX中的安全沙箱问题

    【标题】:“源于FLEX中的安全沙箱问题” 【描述】:在FLASH PLAYER中,安全沙箱是一个关键的安全性组件,它将资源逻辑地分组,以限制各个FLASH应用程序能够执行的操作和访问的资源。安全沙箱确保了各应用程序与...

    在Flex中发布地图 程序报错 SecurityError: Error #2048: 安全沙箱冲突,只需要下载添加这个就可以

    网上的方法很多,我看了好多,但是就是不管用,我的情况是,在程序没发布时,直接运行没错误,但是当发布时,访问就错了,提示SecurityError: Error #2048: 安全沙箱冲突:http://localhost:8086/index.swf 不能从 ...

    flash安全沙箱汇总

    在IT行业中,安全沙箱是一种重要的安全机制,尤其在Flash技术中扮演着核心角色。Flash安全沙箱的主要目的是为了限制并隔离运行的Flash内容,防止它们对用户系统造成潜在的危害。下面将详细介绍Flash安全沙箱的基本...

    java ,c#,delphi 解决flash安全沙箱问题

    在IT行业中,安全沙箱是一种重要的安全机制,用于限制应用程序的权限,防止它们对系统造成潜在的危害。在 Flash 技术中,安全沙箱的概念尤为关键,因为它允许 Flash 内容在网页上运行,同时限制了其对用户计算机的...

    flex安全机制详解

    为了确保安全性,Flex采用了一套完整的安全机制来控制不同域之间的通信,其中包括了沙箱机制和安全策略文件的应用。 #### 二、沙箱机制 Flex的安全机制之一就是沙箱机制,它限制了SWF文件能够访问的资源范围,以...

    沙箱安全系统解决方案设计-研华.pdf

    沙箱安全系统是一种先进的网络安全解决方案,旨在检测和防御高级持续性威胁(APT)和其他未知的恶意软件。在研华科技的解决方案中,他们采用了Fortinet的APT防御技术,特别是FortiSandbox,来应对日益复杂的网络威胁...

    Firehunter APT沙箱安全技术方案.pptx

    "Firehunter APT沙箱安全技术方案" .Firehunter APT沙箱安全技术解决方案是华为提供的一种APT沙箱安全解决方案,旨在检测和防御APT攻击。该解决方案基于行为特征检测和机器学习技术,能够检测未知恶意文件和未知...

    基于沙箱的Java安全体系结构

    ### 基于沙箱的Java安全体系结构 #### 概述 Java作为一种跨平台的编程语言,其安全模型的设计尤为关键。Java的安全沙箱机制是确保Java应用程序能够在不损害系统安全的前提下运行的重要保障。本文将详细介绍Java...

Global site tag (gtag.js) - Google Analytics