flex的沙箱问题

　　　在ｆｌｅｘ与ｇｏｏｇｌｅ的地图整合中发现，点击了google 的一个路径发现，报沙箱问题？

*** 安全沙箱冲突 ***
SecurityDomain'http://maps.googleapis.com/mapsapi/publicapi?file=flashapi&url=file%3A%2F%2F*&key=ABQIAAAAIhwqRCxr2Hd_iUrIB7KzdxT2yXp_ZAY8_ufC3CFXhHIE1NvwkxR4G7tD76snbpNjQ3DrJkhKe_noZg&v=1.9a&flc='尝试访问不兼容的内容'file://D:\flexwork\BusOffline\bin-debug\BusOffline.html'

查询可知，关于沙箱的所有的信息

 

 

最近写了个读取外部地址图片的小Flash程序，才让我知道了世界上还存在着一个叫做“安全沙箱”的邪恶东东。于是在论坛里和搜索引擎中到处搜索，但所有的地方得到的答案都是很片面或者相互冲突的解释（互联网上的信息现在鲜有权威且真实的了）。有如下几类。
还未曾一一验证，新手的编码速度总是很缓慢。所以先发上来和大家共同研究，也希望技术好的舵友帮助我们这些还混在Flash编程底层的新手们，还请不吝赐教。
如果你和我一样都对安全沙箱一知半解，不如帮我顶一下，让更多的舵友关注一下，我会逐步的补完解决的过程和测试用例以及结果。我这次是下了决心要把这个恶心的知识点吃透了！

我得到的答案有以下几类，如果有出入请大家及时拍砖，也会有完全相反的答案，让我非常的头疼：

一、安全沙箱是Adobe的一种安全机制，用于限制Actionscript3.0访问不同域中的文件。

这个答案非常基础，大抵上所有的人都会这样解释，这种解释非常片面，而且让人非常的疑惑。
就这个答案有一些扩展问题，希望了解的舵友能帮忙给出答案：

• 为什么Adobe会有这种限制，就是说这种限制出于怎样的考虑？如果没有这种限制的话会出现什么安全问题？
• 既然不允许访问不同域的文件，为什么我在Flex的mx:Image组件中可以使用source属性来获取到外部的图片？这样属于绕过了安全沙箱吗？

二、如果出现安全沙箱问题，可以使用跨域配置文件来进行配置并解决安全沙箱问题。（这个答案是版本最多的答案了，五花八门自相矛盾，而且每一个都并不全面）

比如有人告诉我，如果一个A域的AS文件（Flash文件）想要访问B域的Flash文件，那么在B域的服务器上必须有一个跨域配置文件，并且在文件中设置允许A域中的Flash来访问才可以。（这个答案最多）。
也有人告诉我，跨域配置文件是放在A域的机器上，并且在文件中配置的是A域中的Flash文件可以访问哪个域的文件！（这个就完全反转了180度，虽然按照逻辑我更相信这一个，但看到大部分人都给出上面那个答案，就总是很迷惑。）
还有人说跨域文件不是必需的，可以在程序中直接设置就可以访问了（这个的观点也是由A域的程序来设置可访问的域，如果是正确的，倒是让人十分欣喜。）

以下是一些扩展问题，同样请了解的舵友帮忙解答：

• Flash的Swf文件如果是存放在A域中，在Swf中需要调用B域中的图片，跨域文件应该是放在哪个域的服务器中？
• 如果跨域文件需要放置在B域中，那么在配置是是否需要指定A域允许访问，然后A域中的Swf文件才能获得B域中的图片？
• 如果必须指定A域可以访问，A域中的Swf文件才能得到B域中的图片的话，那么Swf理应是在客户端执行的才对，（不是在A域中执行，而是要加载到客户端）那么岂不是只配置A域可以访问还不够，还需要允许客户端所在域可以访问才可以？
• 跨域文件是否是必须的？在程序中是否可以直接设置可访问的域？

三、安全沙箱可以通过一些其他的手段绕过（这部分的答案很丰富，但几乎不重样，而且每个解决问题的人都是高手，只留下寥寥几笔描述问题的解决过程，让人如坠雾里。）

有人通过设置代理来回避了安全沙箱问题（这个很让人怀疑，因为不大可能每个资源所在域都有一个同域的代理，而且可操作性太低）
有人通过使用其他语言的流操作来规避安全沙箱（这个我觉得应该完全pass，如果这样的话就相当于占用了两次带宽，以此读入，一次写出，如果是真的，这个应用的使用人数估计不能超过百人）
有人通过非常猥亵的图片跨域访问方法（怎么猥亵没看懂，是作者自己的描述，一会我会在解决方法的部分发出来他的解决方法，注明转载和出处相信他不会在意！）
还有人通过Js的设置来绕过安全沙箱（作者自己的描述是有点“自欺欺人”，我每次看到这种评价总是冒汗，ADOBE到底是为了什么发明了这个传说中的沙箱？难道大家都有这个需要？）
也有人在FlashPlayer的配置上做手脚，可以解决本地的Swf的安全沙箱问题（作者谓之为“终极”，这里也非常的不理解，Swf应该是在客户端执行吧，而不是由服务器执行好了发到客户端！那么本地的话，我又该将文件放在哪里？是客户端的本地还是A域的本地？）

下面附上网上收集的各种绕过安全沙箱的方法，为了方便阅读，直接拷贝黏贴，同时也附带引用地址以便详细查看！这个也请众多高手给个定论，看看哪种方法可行且高效。

解决“安全沙箱冲突” 引用自http://www.zhugao.cn/info/news_show.asp?id=620

是通过配置跨域文件来实现的，但因为作者未写明细节，所以看不出配置文件所在的域是A还是B。

刚才 load 一张网络上的图片，发现不能用 setMask 对其遮罩，trace 出现“安全沙箱冲突”。知道原因就好办了，调用不同域的对象或变量需要 allowDomain，如下：

System.security.allowDomain("www.zhugao.cn");
loadMovie("http://www.zhugao.cn/images/links/links_zhugao.jpg", my_mc);

注意，“www.zhugao.cn”和“zhugao.cn”不是相同域，根据目标而定。例如 loadMovie("http://player.zhugao.cn/***.jpg", my_mc); 那么 allowDomain 的应该是 player.zhugao.cn，而不是 zhugao.cn，也不是 www.zhugao.cn

如果要允许多个域，可以用逗号隔开：
System.security.allowDomain("www.zhugao.cn", "zhugao.cn", "player.zhugao.cn");

播放器在 8.0 以上可以使用通配符 “*” 来允许所有域：
System.security.allowDomain("*");  

解决Flash3.0安全沙箱问题 引用自：http://www.360doc.com/content/070905/10/10584_720237.html

利用JS脚本绕过安全沙箱（有待验证，如果可以也不失为一种体面的解决办法！）

Flash作为一种客户端的前台脚本技术，本来是不应该赋予更强大的功能的。

但是随着Flash技术的发展，目前已然能够读xml文件，载入多媒体内容，

甚至直接与服务器端进行Socket通信。

当然，这些还不够，Flash与js，Flash与Flash之间也已然实现了交互通信。

这样导致的结果就是带来了大量令人头疼的安全问题。

于是Flash在它的AS3.0里提出了安全沙箱这一概念。

在未经授权的情况下，Flash默认状态是不允许进行跨域通信的，这样就使得Flash的安全可靠性得到了提高。

可同时也带来了意想不到的麻烦：我制作了一个Flash，在页面中用js脚本控制as脚本，然后使用FlashCS3的发布功能发布了该Flash，

上传到网站上后，问题出现了，此时Flash无论执行任何访问外界的as脚本均会提示安全沙箱问题！

即使是打开链接地址也会出现警告！

解决的办法很简单，连我自己后来都觉得很诧异：将调用Flash的参数：allowScriptAccess的值改为always即可。

例如：<param name="allowScriptAccess" value="always" />

用js来控制Flash的安全访问？是不是有点自欺欺人？嘿嘿？

使用Asp.Net绕过As3的跨域安全沙箱 引用自：http://www.asflex.cn/?p=532

完全的文件转发，以极低的效率来解决了问题，基本无实用价值.作者有大段的代码就没有全部复制，请根据上面引用详细阅读。看作者的有点郁闷总是让人觉得非常郁闷。

As3的SandBox这点上有点让人感觉非常郁闷。

如果要取不同域上的文件（比如歌曲，图片等），当对方服务器没有crossdomain.xml的时候就会出现安全沙箱错误。

这点有点郁闷。

中午午饭后，想到这个问题，于是用Asp.Net写了个Web Proxy。通过Asp.Net进行资源的转发，解决了跨域的安全沙箱问题。

不过这个东东会加大服务器的带宽和计算压力~

一种猥琐的图片跨域的方法 引用自：http://www.xintend.com/Article/EihZHMjnxgYubhSqRjhZ.aspx

似乎是利用了Flex本身的疏漏来达到特定访问图片的方法，但由于作者代码的不完全，作为初学的我还无法完全理解他的思路，还请大家指教这个。

今天看到达达(ASFlex)的博文，关于跨域的问题，突然想起来我之前[原]淘宝店家起义篇。。。要做的实验之一，遂趁当前下班时间，在公司里写了一段测试代码。

果然是无法Draw的，在帮助文档已经明确的写了......................................

如何突破呢？ 还是以后直接拿TextField来用？

以此标记，下回，改用AVM1+AVM2混合内容测试

目前方法是猥琐的抽出Loader来用

测试连接：
www.xintend.com/temp/icd/index.html

有兴趣的同学可以去玩下~~ 图片可以拖动~~~~~~~

核心 代码部分:


01. function handleLoadBtn():void {  
02.            var s:String = urlInput.text;  
03.            var ht:String = "<img src='";  
04.            if (s.length > 0) {  
05.                ht += s;                                 
06.                ht += "' ";  
07.                ht += "id='image'>";  
08.                tf.htmlText = ht;  
09.                output.text = ht;  
10.                output.text += "n";                  
11.                output.text += tf.getImageReference("image");  
12.                var c:DisplayObject = tf.getImageReference("image");  1
3.                ui.addChild(c);  
14.                output.text += "n ui.addChild(c);";  
15.            }  
16.        }

终极，解决本机flash player安全沙箱问题 引用自http://www.3tichina.com/newsDetails/20081203093544164.shtml

解决本地的安全沙箱，我本地测试的时候倒没遇到过！难道是RP，YY一下

经常在本机调试flash的时候，会报安全沙箱问题，除了去adobe的网站（http://www.macromedia.com/suppor ... ings_manager04.html）上添加本机的目录外，还可以有一种更简单的办法，

在C:windowssystem32MacromedFlashFlashPlayerTrust 下面，添加一个txt文件，例如songhuan .txt，然后在里面添加你的本机的目录，例如f:songhuan 或者c:都可以。以后在哪里报错了，就在这个文件里添加路径就可以了。