安全沙箱(三):发布者许可(策略文件)&创建者许可(allowDomain)

最新推荐文章于 2020-08-02 11:16:58 发布
最新推荐文章于 2020-08-02 11:16:58 发布
阅读量627 收藏
点赞数
分类专栏: Flash/ActionScript3.0/2.0 文章标签: domain socket system xml 脚本 服务器

发布者许可(政策文件):

 

创建政策文件:


Xml代码
  1. <? xml  version ="1.0" ?>   
  2. <!DOCTYPE cross-domain-policy  
  3.   SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">   
  4. < cross-domain-policy >   
  5.   < allow-access-from  domain ="domainOrIP"  />   
  6.   < allow-access-from  domain ="*.example.com"  />   
  7.   < allow-access-from  domain ="*"  />   
  8.   < allow-access-from  domain ="localhost"  />   
  9. </ cross-domain-policy >   
  • "*"符号表示给所有源头 授权。
  • 为了包含本地范围 作为一个授权源头,一个政策文件必须通过为domain属性指定 * 来显式地信任所有的源头。
  • domain指定的IP 和他们等价域名 是不同的 。

公布政策文件:

  • 默认的 名字和位置:名字:crossdomain.xml ;位置:网站的根目录
  • 如果政策文件在网站根目录 中,它授权对整个网站的访问权 。
  • 如果政策文件在网站的一个子目录 中,它授权对该目录及子目录的访问权 ,此时需要手工装载这个政策文件 :
  1. Security.loadPolicyFile("http://domainOrIP/pathToPolicyFile" );  
Security.loadPolicyFile("http://domainOrIP/pathToPolicyFile");
 

取得一个政策文件的许可来装载数据

Xml代码

  1. <? xml  version ="1.0" ?>   
  2. <!DOCTYPE cross-domain-policy  
  3.   SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">   
  4. < cross-domain-policy >   
  5.   < allow-access-from  domain ="www.site-b.com"  />   
  6.   < allow-access-from  domain ="site-b.com"  />   
  7. </ cross-domain-policy >   
  1. var urlloader:URLLoader = new  URLLoader();  
  2. urlloader.load(new  URLRequest("http://site-a.com/assets/file.xml" ));  
var urlloader:URLLoader = new URLLoader();
urlloader.load(new URLRequest("http://site-a.com/assets/file.xml"));

 

取得一个政策文件的许可来把内容作为数据访问

Xml代码
  1. <? xml  version ="1.0" ?>   
  2. <!DOCTYPE cross-domain-policy  
  3.   SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">   
  4. < cross-domain-policy >   
  5.   < allow-access-from  domain ="www.site-b.com"  />   
  6.   < allow-access-from  domain ="site-b.com"  />   
  7. </ cross-domain-policy >   
  1. var loaderContext = new  LoaderContext();  
  2. loaderContext.checkPolicyFile = true
  3. theLoader.load(new  URLRequest("http://site-a.com/assets/image.jpg" , loaderContext));  
  4. trace(theLoader.content);  
var loaderContext = new LoaderContext();
loaderContext.checkPolicyFile = true;

theLoader.load(new URLRequest("http://site-a.com/assets/image.jpg", loaderContext));
trace(theLoader.content);
 

使用一个政策文件来授 权套接字连接 :

Xml代码
  1. <? xml  version ="1.0" ?>   
  2. <!DOCTYPE cross-domain-policy  
  3.   SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">   
  4. < cross-domain-policy >   
  5.   < allow-access-from  domain ="www.site-b.com"  to-ports ="3000"  />   
  6.   < allow-access-from  domain ="site-b.com"  to-ports ="3000"  />   
  7. </ cross-domain-policy >   
  1. var socket:Socket = new  Socket();  
  2. try
  3. {  
  4.     socket.connect("site-a.com"3000 );  
  5. }
  6. catch  (e:SecurityError)
  7. {  
  8.     trace("Connection problem" );  
  9.     trace(e.message);  
  10. }  
var socket:Socket = new Socket();
try {
    socket.connect("site-a.com", 3000);
} catch (e:SecurityError) {
    trace("Connection problem");
    trace(e.message);
}

1. 端口范围 :

to-ports="9100, 9200"

to-ports="10000-11000"

to-ports="*"

 

2. 如果一个政策文件时取自小于1024 端口的一个套接字,* 表示对任何端口的访问都被授权

如果一个政策文件取自大于或者等于1024 端口的一个套接字,* 表示对于任何大于或者等于1024端口的访问都被授权

 

3. 当一个政策文件在和所需的套接字连接的不同端口 提供服务时,必须手工装载那个政策文件 ,添加以下语句:

  1. Security.loadPolicyFile("xmlsocket://domainOrIP:portNumber" );  
Security.loadPolicyFile("xmlsocket://domainOrIP:portNumber");
 

基于HTTP的政策文件:

必须满足的条件:

  • 它必须被命名为crossdomain.xml
  • 它必须放置于网页服务器的根目录 中
  • 它必须在所需要的套接字连接的域名 或IP地址的端口80 上提供服务
  • 在AS3中,它必须通过Security.loadPolicyFile()来手工装载

 

创建者许可(allowDomian()):

  1. Security.allowDomain("www.sometvnetwork.com""sometvnetwork.com" );  
  2. Security.allowDomain("*" );  
Security.allowDomain("www.sometvnetwork.com", "sometvnetwork.com");
Security.allowDomain("*");
  • 只作用于交叉脚本控制 和HTML-to-SWF脚本控制 操作
  • * 符号不能 用作一个子域名 的通配符 :Security.allowDomain("*.example.com ");不行的
  • 一个.swf文件可以通过检查被装载的.swf文件的LoaderInfo 对象中的childAllowsParent 变量来判定它是否被授权

导入装载:swf装载swf

 

如果两个swf来自不同的远程区域 ,或者不同的安全沙箱类型,使用下面的方法加载

  1. var loaderContext:URLLoader = new  URLLoader();  
  2. // 仅当加载AS3编写的SWF文件时才会使用此属性   
  3. loaderContext.applicationDomain = ApplicationDomain.currentDomain;  
  4. loaderContext.securityDomain = SecurityDomain.currentDomain;  
  5. loader.load(new  URLRequest("http://site-a.com/assets/file.swf" ), loaderContext);  
var loaderContext:URLLoader = new URLLoader();
// 仅当加载AS3编写的SWF文件时才会使用此属性
loaderContext.applicationDomain = ApplicationDomain.currentDomain;
loaderContext.securityDomain = SecurityDomain.currentDomain;
loader.load(new URLRequest("http://site-a.com/assets/file.swf"), loaderContext);

处理安全违规:

 

要么抛出一个SecurityError 异常,要么调度一个SecurityErrorEvent .SECURITY _ERROR

  1. var urlloader:URLLoader = new  URLLoader();  
  2. urlloader.addEventListener(SecurityErrorEvent.SECURITY_ERROR, securityErrorListener);  
  3. urlloader.load(".../index.xml" );  
var urlloader:URLLoader = new URLLoader();
urlloader.addEventListener(SecurityErrorEvent.SECURITY_ERROR, securityErrorListener);
urlloader.load(".../index.xml");

有时需要注册LoaderInfo 的事件监听:

  1. var loader:Loader = new  Loader();  
  2. loader.contentLoaderInfo.addEventListener(SecurityErrorEvent.SECURITY_ERROR, securityErrorListener); 
asianfalcon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
同源策略和跨域访问
qgw_2000的专栏
05-03 3682
# Same Origin Policy Summary #     目前Restful的Web Service比较流行,项目中也经常用到。实现过程中遇到Ajax的跨域问题,在此对相关知识做个总结。 ## 1. 什么是同源策略 ##     理解跨域首先必须要了解同源策略。同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。     何谓同源:         URL由协议、
mysql 指定域_MySQL允许从特定域访问?(MySQL allow access from specific domain?)
weixin_42522389的博客
02-06 392
MySQL允许从特定域访问?(MySQL allow access from specific domain?)我试图允许访问我在本地服务器上运行的MySQL实例。 我知道我可以在my.cnf文件中绑定对某些IP和某些IP范围的远程访问。 我很好奇是否可以允许从整个域访问,而不必列出可能连接的所有可能的IP。我知道您可以通过GRANT命令授予对整个域的访问权限,但我想我的断开连接是my.cnf文件...
asp.net core 系列之允许跨域访问-1(Enable Cross-Origin Requests:CORS)
weixin_34128534的博客
05-02 346
接上篇的允许跨域 4.CORS 策略(Policy)的选项 这里讲解Policy可以设置的选项: 设置允许的访问源 设置允许的HTTP methods 设置允许的请求头(request header) 设置暴露的响应头(response header) 跨不同源请求的证书(Credentials) 设置过期时间 AddPolicy 在StartUp.Configu...
带cookie跨域问题的思路以及echo的解决方案
weixin_30472035的博客
07-20 173
问题起因 前后端分离,前端要访问后端资源,而且需要携带cookie信息,这时碰到了跨域问题。一开始以为设置为允许跨域allow_origins为即可。可是浏览器还是拦截的请求,于是查看跨域规则,原来跨域allow_origins为时,只允许简单的跨域,比如get,post,但是如果携带cookie,则会出现失败。 思路 后来查看文档,原来按照跨域请求的规则,当跨域和来源一致时才可以携带cookie...
浏览器拦截跨域请求处理方法
qq_27361945的博客
01-25 5676
https://www.cnblogs.com/arxive/p/7204328.html 解决跨域的解决办法有多种,比如jsonp,或者apache 或者nigix里面配置,或者后端的php或者java中配置 cross orgion。 在网上搜了一圈,发现处理方式都差不多,但是我们得清楚这些到底怎么用。 先看下这段代码: 这段代
关于flash的跨域问题
zhytry的博客
03-23 1370
Security.allowDomain("*"); Security.allowInsecureDomain("*");   Security.loadPolicyFile("http://py.qlogo.cn/crossdomain.xml");   在过游戏开发的时候,往往会遇到安全域的问题,然而这个问题,确实实实在在的困扰着我们
沙箱逃逸:来自安全软件的鼎力相助.pdf
08-07
沙箱已经成为现代安全技术的重要组成部分。Microsoft Windows 8.1 和 Windows 10 集成了若干新的缓解措施和安全边界,显著提升了应用层沙箱安全性,降低了代码执行漏洞所造成的直接危害。然而第方软件也是 ...
AS3.0安全沙箱 843策略文件
08-17
这是个通用类,里面包含了处理843端口的安全沙箱问题以及socket基本的向服务器send资源问题。 请求方式是,先发整形,然后发id长度,再发id(String) 得到的资源是先得到字符长度,再得到字符串。这个是和后退约定的...
flex 安全沙箱 策略问题 demo
12-03
2,如果1没有检测到策略,则检测actionscript是否使用了Security.loadPolicyFile(xmlsocket://) 手段提供安全策略,如果还没检测到,则使用第3步检测 3,检测目标服务器目标端口是否提供安全策略。 以下是demo ...
Linux安全加固:使用Firejail打造坚不可摧的沙箱环境
最新发布
07-11
Linux是一种开源的、基于Unix的操作系统内核,由林纳斯·托瓦兹(Linus Torvalds)在1991年首次发布。它遵循自由软件和开源开发的原则,任何人都可以自由地使用、修改和分发Linux内核。Linux内核是操作系统的核心...
关于跨域策略文件crossdomain.xml文件
weixin_30537451的博客
07-06 421
下载flexpaper源码修改后做成swf阅读器,要加入待阅读的swf文件,可以在flex里调用js的方法来获取swf文件的路径的方法,在js只专注获取路径就行,等着flex来调用:但这里会遇到一个问题那就是出现安全问题,如下的提示: Error #2044: 未处理的 onDocumentLoadedError:。 text=Error #2048: 安全沙箱冲突:http://loca...
让swf跨域传输数据
SpallationMetamorph的专栏
08-20 176
使用crossdomain.xml跨域传输数据   一、概述 位于www.mzwu.com域中的SWF文件要访问www.163.com的文件时,SWF首先会检查163服务器目录下是否有crossdomain.xml文件,如果没有,则访问不成功;若crossdomain.xml文件存在,且里边设置了允许www.mzwu.com域访问,那么通信正常。所以要使Flash可以...
跨域策略文件crossdomain.xml的配置方法
热门推荐
蝈蝈的博客
12-06 4万+
一、crossdomain.xml文件的作用    跨域,顾名思义就是需要的资源不在自己的域服务器上,需要访问其他域服务器。跨域策略文件是一个xml文档文件,主要是为web客户端(如Adobe Flash Player等)设置跨域处理数据的权限。打个比方说,公司A部门有一台公共的电脑,里面存放着一些资料文件,专门供A部门内成员自己使用,这样,A部门内的员工就可以访问该电脑,其他部门人员则不允许访问。
flash跨域策略文件crossdomain.xml配置详解
当你打算放弃梦想的时候,告诉自己再多撑一天,一个星期,一个月,再多撑一年吧。
08-03 3174
CnCxzSec衰仔's Blog 0x00 目录   0x01 简介 0x02 crossdomain.xml的配置 0x03 总结   0x01 简介   flash在跨域时唯一的限制策略就是crossdomain.xml文件,该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据。   位于www.a.com域中的SWF文件要访问www.b.com的文
浅谈“跨域访问漏洞”
→_→
08-02 3192
一:漏洞名称: flash跨域漏洞、跨域访问漏洞 描述: 不正确的crossdomain.xml策略将导致严重的安全问题,如信息泄露、CSRF等,如下几种是跨域漏洞所产生的常见几种不正确设置: 1:permitted-cross-domain-policies为all造成加载目标域上的任何文件作为跨域策略文件,甚至是一 个JPG也可被加载为策略文件。 2:allow-access-from 设为“*”任何的域,有权限通过flash读取本域中的内容,表示匹配所有域和所有 IP 地址,此
常见的网站漏洞
xysoul的专栏
04-18 6321
1. 注入漏洞  (1)sql注入。   (2 )xss ( cross site script) 跨站脚本攻击。   服务端:      echo $_GET['s'];   浏览器URL:    test.demo.com/index.php?s=(页面就会被注入js    脚本)  (3)命令注入漏洞。    通过GET提交的
浏览器拦截跨域请求处理方法(firebug报错,同源策略不允许读取XXX上的远程资源)
雷雨中的双桅船
06-18 9701
1. 如果可以使用get请求的话
Adobe CrossDomainPolicyFile:解决Flash安全沙箱挑战的策略
版本2.0的Adobe CrossDomain Policy File Specification详细规定了如何创建和配置这些策略文件,以确保跨域通信的安全性和合规性。这个规范强调了以下几点: 1. **版权声明**:所有内容受2009年Adobe Systems ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值