Flash实现Websocket的跨域问题-安全沙箱问题解决办法

笔者在开发一款大型的直播交互平台时采用了Websocket技术来实现文字、弹幕与语音的交互，当前主流的浏览器都内建了Websocket的支持，因此直播平台在大多数浏览器上运行良好。但由于平台需要支持IE8（或以下版本）浏览器，由于IE没有内置的Websocket支持，因此考虑采用Flash实现一个代理层来支持Websocket，当Flash代码实现好后在IE中一运行，发现总是提示安全沙箱冲突，如下所示：

 

[WebSocket] cannot connect to Web Socket server at ws://192.168.1.202:9168/ (SecurityError: Error #2048: 安全沙箱冲突:http://192.168.1.202:8080/js/swf/WebSocketInsecure.swf 不能从 192.168.1.202:9168 加载数据。) make sure the server is running and Flash socket policy file is correctly placed

 

通过分析原因后发现是Flash的安全策略导致的问题，flash发起socket通讯时，如果swf文件与通讯的服务器地址不一致：包括IP地址(域)与端口，就会向通讯所在的服务器请求安全策略文件，例如：如果Flash所在的页面地址为 http://192.168.100:8080/index.html，而Websocket需要访问 192.168.100:8168这个地址，虽然访问的服务器的IP地址相同，但由于端口不一样，一个为8080，另一个为8168，Flash也会把它们当做不同的域，需要安全策略文件。

 

Flash请求安全策略文件的步骤如下：

1）Flash首先使用 默认TCP端口 843 向服务器发送XML字符串 "<policy-file-request/>\0"（共23个字节）来请求安全策略文件，注意这个字符串是通过xmlsocket协议发送的，xmlsocket协议需要在通讯的数据末尾追加一个null结尾字符'\0'（ASCII值为0，类似于C语言的null结尾字符串），因此总共发送23个字符到服务器请求安全策略文件。

2）Flash首先使用 默认843端口来获取安全策略文件，如果连接不成功，然后再用当前请求的地址向服务器发送安全策略文件请求，例如，如果向地址 192.168.100:843发起连接无效，则会继续向192.168.100:8080这个地址发送xmlsocket请求；

3）服务器端接收到TCP数据后，一定要先判断是否是Flash的安全策略请求，如果服务器收到了"<policy-file-request/>\0"这个字符串，则应该向客户端（指Flash播放器）返回安全策略文件，一个安全策略文件的示例内容如下：

 

<?xml version = "1.0" encoding = "utf-8"?> <cross-domain-policy>  <allow-access-from domain="*" to-ports="8168" />  <allow-access-from domain="*.iavcast.com" to-ports="10086,20086" /> <allow-access-from domain="*.huayisoft.net" to-ports="*" /> </cross-domain-policy>

一般只需要对以上文件的xml节点allow-access-from进行修改即可。

策略文件是用于告诉flash客户端， 允许哪些域的主机通过哪些端口进行连接。

 

注意发送时，策略文件的内容应该包含末尾的结尾 \0 字符，这是Flash的xmlsocket的要求。