Flash安全沙箱调研

最新推荐文章于 2017-10-11 00:02:10 发布
最新推荐文章于 2017-10-11 00:02:10 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: .Net 文章标签: .Net for Flash
Flash安全沙箱定义及作用

定义:

FlashPlayer 中的一个主要安全性组件基于沙箱,它们是 Flash Player 用于包含资源的逻辑安全性分组。


作用:

FlashPlayer 使用这些安全性沙箱来定义各个 Flash应用程序可以访问的数据及操作的范围,即它们可以访问哪些资源。各个沙箱中的所有内容都由其利益相关方安全控制。这包括文件请求、本地数据存储(共享对象)以及特定域及其内容所使用的任何其它资源。每个沙箱与操作系统、文件系统、网络、其它应用程序、甚至其它Flash Player 沙箱实例保持隔离。 



Flash安全的利益相关方控制权限

1、管理用户控制:

这指系统的最高权限用户,win下的Administrator,linux下的root等。有两种类型的控制: 
a)、mms.cfg文件:数据加载、隐私控制、Flash Player更新、旧版文件支持、本地文件安全性、全屏模式等。

b)、"全局 Flash Player 信任"目录:当某些SWF文件被指定到这个受信任的目录下时,这些SWF 文件会被分配到受信任的本地沙箱。它们可以与任何其它SWF文件进行交互,也可以从任意位置(远程或本地)加载数据。该信任目录的默认路径为:C:\windows\system32\Macromed\Flash\FlashPlayerTrust。 


2、用户控制
相对于第1种,这里的用户是指普通用户。有这三种类型的控制:

a)、摄像头与麦克风设置

b)、共享对象存储设置–SharedObject(FlashPlayer 6)

c)、相对与"全局 Flash Player 信任"目录,用户权限这也有个"用户 Flash Player 信任"目录。默认路径:C:\Documents and Settings\Ice\ApplicationData\Macromedia\Flash Player\#Security\FlashPlayerTrust。 


3、Web 站点控制(跨域策略文件): 
crossdomain.xml文件,该文件只能存放在站点根目录下,文件格式如:

<?xml version="1.0"?>
<cross-domain-policy> 
<allow-access-from domain="*" />
</cross-domain-policy>


4、作者(开发人员)控制:
开发者可以通过编码(在AS脚本中)指定允许的安全控制权限,如:Security.allowDomain("www.baidu.com"); 



Flash安全沙箱的分类:

  1. 远程沙箱

  2. 本地沙箱



远程沙箱

远程沙箱控制远程域上浏览器环境中的策略。实行严格域策略,例如:www.baidu.com 与 tieba.baidu.com 被认为属于不同域。默认情况下,非HTTPS协议加载的内容无法访问同域下HTTPS协议加载的内容,但是反之可以。


本地沙箱

本地沙箱控制在本地计算机环境中的策略。


三种情况:

1)只访问本地沙箱-- 只能与本地文件系统内容交互,无法访问网络对象;

2)只访问远程沙箱-- 只能与远程内容交互,无法访问本地对象;

3)受信任沙箱   --  既可以访问本地文件,又可以访问网络对象。




Flash安全沙箱分类设置

Flash发布后需要处于的本地沙箱类型,在使用IDE发布时进行设置。但是如果是从远程服务端获得的Flash程序均为远程沙箱。Flash当前处于的沙箱可以通过Secrity类的Security.sandboxType查看。此属性为Read-Only。


Security.REMOTE(远程沙箱)
Security.LOCAL_WITH_FILE(只能与本地文件系统内容交互的本地沙箱)
Security.LOCAL_WITH_NETWORK(只能与远程内容交互的本地沙箱)
Security.LOCAL_TRUSTED(受信任的本地沙箱)




Flash安全沙箱的常见需求及解决

1. 跨脚本访问

跨脚本访问就是不同的Flash程序之间,对对方的SWF文件中的变量,对象,属性,方法进行检查或者修改。

一) 同域:同域之间的SWF可以自由互访,被认为是互相可以信任的。

二)不同域: 不同域之间的SWF永远默认为不可信任,除非使用跨站访问策略进行信任联系:

1)crossdomain.xml,放置于站点的根目录下。

2) Security.allDomain()  & Security. allowInsecureDomain()

     在需要被访问的SWF中使用此方法,允许指定域下的SWF对其进行访问。


注意: 

1. www.baidu.com& tieba.baidu.com被认为是不同域

2. 以上两种策略均为单向,如要互访则需要双边都是用到访问策略。


2.访问页面脚本

访问页面脚本主要是与JS的互访。


一、页面上的Object和Embed标签都有allowScriptAccess参数,该参数有三个设置选项:

1) “Never”    不与页面脚本交互

2) “sameDomain”   只与该Web页同域下的脚本交互

3) “Always”    始终可以访问Web页下的脚本

默认情况下,flash palyer 8以上版本该参数值为“sameDomain”


二、互访机制  ExternalInterfa

1)使用页面脚本

ExternalInterface.call(/*脚本的对象方法*/);

2) 提供给脚本的API

ExternalInterface.addcallback(‘functionName’, closureFunciton);


3.POST和文件上载

一、必须从用户事件处理函数(鼠标或键盘事件)调用 FileReference.browse()。

二、如果上载的文件转到的服务器所在的域不同于调用FileReference.upload() 的SWF 文件所在的域,则目标服务器上需要一个URL 策略文件,它信任SWF 文件的域。

纹路猫
关注
专栏目录
flash安全沙箱汇总
09-11
flash安全沙箱汇总。从网上摘录的东东。
Flash Socket安全沙箱策略mini服务器,解决Flash Socket安全沙箱安全策略
08-28
本程序为绿色mini服务程序 程序会自动打开Flash默认的843端 自动将crossdomain.xml返回给flash客户端 您可以修改crossdomain.xml中的内容,大小不要超过10K 有问题可email我
教程:深入理解Flash沙箱 – Security Domains
AS3
12-08 269
[url] http://kevincao.com/2010/11/security-domains/ [/url] 今天终于有时间把senocular上关于安全域和应用程序域的教程好好看了一遍。觉得人家老外就是专业:内容非常有条理且完整,图文并茂,举例也非常实用,真是教程中的精品。刚好我最近也在整理这方面的知识,于是决定把这篇翻译出来,方便国内的读者。对想要进阶理解Flash的运行机制...
[转]教程:深入理解Flash沙箱 – Application Domains
AS3
12-08 189
[url] http://kevincao.com/2010/11/application-domains/ [/url] 应用程序域 Application Domains 应用程序域 Application Domain Placement 应用程序域的位置 Application Domain Inheritance 应用程序域的继承 Child Domains: ...
浅谈Flash Socket通信安全沙箱
ve12345的博客
04-29 168
用过Flash socket的同学都知道,Flash socket通讯有安全沙箱问题。就是在Flash Player发起socket通信时,会向服务端获取安全策略,如果得不到服务端响应,flash将无法连接到服务端。 首先,什么是Flash安全沙箱Flash安全沙箱Flash Socket的一种安全策略,为避免任意Flash终端与目标主机建立Socket通讯,以授权端口,域名方式限定连接...
Flash as3安全沙箱
Manchy的专栏
10-11 619
一、安全沙箱 安全沙箱相对于客户而言,是以加载的资源的原始域为基础,把不同域的文件资源分配给不同的组,这个组就叫安全沙箱沙箱类型:沙箱有5个不同的种类。 远程沙箱:来自网络的资源,只能访问授权的网络资源和数据。 远程交互的本地沙箱:只能访问授权的网络资源和数据。可以加载受信任的本地沙箱和只能与远程交互的本地沙箱的SWf,可以加载本地的非SWF内容,但无法访问内容中的数据。 本地交互的本地沙箱
flash 安全沙箱处理集合
09-11
在IT领域,尤其是在Flash开发中,安全沙箱是一个至关重要的概念。它是一种设计机制,用于限制ActionScript(AS)代码的执行权限,以保护用户的计算机系统免受恶意代码的侵害。安全沙箱允许Flash内容在特定的安全环境...
FLASH沙箱
Sunface撩技术
05-30 1581
FLASH沙箱   默认情况下,Flash Player(和 AIR 应用程序沙箱以外的 AIR 内容)首先在服务器的根目录中查找名为 crossdomain.xml 的 URL 策略文件,然后在端口 843 上查找套接字策略文件。这些位置上的文件称为“主策略文件”。(对于套接字连接,Flash Player 还会在与主连接相同的端口上查找套接字策略文件。但是,在该端口上找到的策
Url参数获取工具.zip
12-18
C#开发,含源码,可根据实际需要而改动代码,编译成自己定制的工具。工具代替人,效率会提高很多,且工具在于反复使用,用得越多,创造的价值越多,需要的请拿去!
ApplicationDomain的误解,安全沙箱有关内容
03-08
ApplicationDomain的误解,安全沙箱有关内容
AS语言获取url参数的说明
03-08
AS语言获取url参数的说明 如果采用默认的80端口
flash安全沙箱问题
dong_qu的专栏
05-25 309
解决”安全沙箱冲突”的第一种方法:是通过配置跨域文件来实现的,但因为作者未写明细节,所以看不出配置文件所在的域是A还是B。 刚才 load 一张网络上的图片,发现不能用 setMask 对其遮罩,trace 出现“安全沙箱冲突”。知道原因就好办了,调用不同域的对象或变量需要 allowDomain,如下: System.security.allowDomain("www.zhugao....
Flash player 10(FLEX 4)的安全沙箱机制
weixin_30297281的博客
07-13 102
注意,是Flash Player 10的安全沙箱,也就是说不仅仅是Flex编译出来的那个swf,所有的swf都遵循Adobe的白皮书。 Flash player 安全模型阻止以下三类违规行为:• 未授权的情况下,访问数据:本地磁盘,联机的磁盘,web服务器,内存中的数据。• 未授权的情况下,访问终端用户信息:可能包括个人信息和金融类数据,也包括终端用户对flash player的安全设...
Flash 安全沙箱的意义
weixin_30825199的博客
09-29 85
Flash安全沙箱是远程的,在网页中,远程安全沙箱内的Flash是无法访问到本地内容的,以此来禁止了非法开发人员 开发恶意程序。 PS: AIR:AIR是在AIR沙箱里面的。(这个沙箱是不安全的,所以发布它需要开发者证书,不然程序会提示未授权或者不能在相关平台发布) 转载于:https://www.cnblogs.com/seabrea/p/4001095.html...
flash 开发 安全沙箱冲突
zzz_781111的专栏
12-19 975
flash 开发 安全沙箱冲突 解决办法 进入flash player 设置管理器 ->高级->受信任位置设置 加入要调试的flash文件即可
解决Flash安全沙箱问题
iteye_1654的博客
01-25 207
flash所在网页中添加下句即可:
flash 安全沙箱冲突
先相信你自己,然后别人才会相信你。
10-28 487
下载flexpaper源码修改后做成swf阅读器,要加入待阅读的swf文件,可以在flex里调用js的方法来获取swf文件的路径 的方法,在js只专注获取路径就行,等着flex来调用: 但这里会遇到一个问题那就是出现安全问题,如下的提示: Error #2044: 未处理的 onDocumentLoadedError:。 text=Error #2048: 安全沙箱冲突:http://loc...
Adobe CrossDomainPolicyFile:解决Flash安全沙箱挑战的策略
针对其产品,特别是涉及网络交互的Flash应用中的一项安全机制,用于解决在不同域之间共享数据时遇到的安全沙箱限制问题。该机制是在Flash Player的安全模型中实施的,它允许浏览器控制来自不同源的脚本或数据的访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值