LoaderContext详解

最新推荐文章于 2021-11-12 09:18:16 发布

DOOM

最新推荐文章于 2021-11-12 09:18:16 发布

阅读量6k

点赞数

分类专栏： AS 文章标签： domain security import class 服务器 application

本文链接：https://blog.csdn.net/lqk1985/article/details/6644704

版权

AS 专栏收录该内容

33 篇文章 0 订阅

订阅专栏

http://help.adobe.com/en_US/FlashPlatform/reference/actionscript/3/flash/system/LoaderContext.html

这里swf指被载入的swf，loader是加载方。

securityDomain

只对swf有效，图片无效。

如果载入同一个域（服务器）下的swf，那么总是和loader同一securityDomain，这个不叫import。

如果使用loader.loadbytes()，则必然和loader同一个securityDomain，这个叫import。

如果使用load载入不同域的swf：

默认为另一个securityDomain，没有import。

可以选择设置为和loader同一个securityDomain（不能设其他的securityDomain），这个是import，这个行为称为import loading，等同于把那个不同域的swf拷贝到当前服务器域内载入。被加载的swf所在服务器必须有policy file信任loader所在域。

看官方文档的过程发现一个漏洞，其他人已经写文阐述了绕开AS3安全沙箱，跨域加载SWF 。

沙盒中的程序访问stage的属性、鼠标事件、像素绘制、其他一些属性受限。这是父SWF限制子SWF访问。

而cross-domain policy files则是子SWF所在域防止父SWF对其加载，有点搞不懂了，到底出于安全需要谁需要限制谁？

从跨域脚本攻击来说，应该是子SWF限制父SWF访问子的接口。

allowCodeImport

是否允许import swf：

1.使用Loader.loadBytes()载入swf。

2.使用Loader.load() 从其他域载入swf时，设置 LoaderContext.securityDomain = SecurityDomain.currentDomain。

对于图片没影响，对于当前域的swf也没影响。

applicationDomain

构造函数 ApplicationDomain(parentDomain:ApplicationDomain = null)

这里父swf指loader所在swf，子swf指被加载的swf。

关于 ApplicationDomain：system domain包含所有application domains，包括current domain。current domain是main app运行的环境。

每个security domain分成多个applicationDomain。所以只能对载入为与loader同一个security domain中swf，设置此属性，不然会抛SecurityError 。而且也只能赋予同一个security domain的applicationDomain作为其父域。

设置这个属性不是为了安全因素，因为总能通过ApplicationDomain.getDefinition()访问到类；而是为了管理代码，主要是两个swf中有同名（同包同类啥都同）类。

1.默认情况下loader的applicationDomain是子swf的applicationDomain的父。

context.applicationDomain = new ApplicationDomain(ApplicationDomain.currentDomain)

允许子swf直接使用父swf定义的class。父swf只能通过ApplicationDomain.getDefinition()获取子swf定义的class。

重复定义的class：子swf直接使用父swf定义的class，父swf本来就只能访问自己的。两者都通过子swf的applicationDomain.getDefinition()获取子swf定义的class。

2.子swf使用和父swf相同的applicationDomain。

context.applicationDomain = ApplicationDomain.currentDomain

父子双方可以直接使用对方定义的class。

重复定义的class：使用父swf定义的，子swf定义的被忽略。怎么获取子swf定义的不知道是否可以通过getDefinition获得。

3.system domain作为子SWF的父域。

context.applicationDomain = new ApplicationDomain()

双方只能通过对方的getDefinition获得对方代码中类的定义。

不会发生冲突。

4.其他域作为子swf的父域

比如context.applicationDomain = new ApplicationDomain(ApplicationDomain.currentDomain.parentDomain.parentDomain)

只要使同一个security domain下的就行。

父swf获取子swf的applicationDomain ：Loader.contentLoaderInfo.applicationDomain。

这里所谓直接使用class指ApplicationDomain.currentDomain.getDefinition()获得，不能直接使用指必须用对方的applicationDomain.getDefinition()获得。

checkPolicyFile

下载其他域的图片（非swf）时需要检查URL policy file。对swf无用，swf是通过Security.allowDomain()。

因为涉及其他域，只对load有效，对loadbytes无效。

DOOM

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
LoaderContext详解

http://help.adobe.com/en_US/FlashPlatform/reference/actionscript/3/flash/system/LoaderContext.html这里swf指被载入的swf，loader是加载方。securityDom
复制链接

扫一扫