flash 跨域访问的控制文件crossdomain.xml

最新推荐文章于 2024-09-03 21:47:04 发布
最新推荐文章于 2024-09-03 21:47:04 发布
阅读量4.4k 收藏
点赞数
分类专栏: Java EE 文章标签: flash domain webservice flex webapp system

转载自http://hi.baidu.com/bozz_/item/e8b1c7c4ca31317489ad9e91

flash 跨域 crossdomain.xml

一、概述

位于www.crossdomainSample.com域中的SWF文件要访问www.163.com的文件时,SWF首先会检查163服务器目录下是否有crossdomain.xml文件,如果没有,则访问不成功;若crossdomain.xml文件存在,且里边设置了允许www.mzwu.com域访问,那么通信正常。所以要使Flash可以跨域传输数据,其关键就是crossdomain.xml。

二、crossdomain.xml文件格式

crossdomain.xml的格式非常简单,其根节点为<cross-domain-policy> ,其下包含一个或多个<allow-access-from>节点,<allow-access-from>有一个属性domain,其值为允许访问的域,可以是确切的 IP 地址、一个确切的域或一个通配符域(任何域)。下边是两个例子:


<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="www.friendOfFoo.com" />
<allow-access-from domain="*.foo.com" />
<allow-access-from domain="105.216.0.40" />
</cross-domain-policy>

<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>


第二个例子允许任何域的访问。对于crossdomain.xml文件存放位置,建议将其存放于站点根目录中!

附:关于跨域策略文件crossdomain.xml

校内的:
http://www.xiaonei.com/crossdomain.xml

<?xml version="1.0" ?>
<!-- http://www.xiaonei.com/ -->
<cross-domain-policy>
<allow-access-from domain="*.xiaonei.com" />
<allow-access-from domain="xiaonei.com" />
<allow-access-from domain="*.renren.com" />
<allow-access-from domain="renren.com" />
<allow-access-from domain="*.kaixin.com" />
<allow-access-from domain="kaixin.com" />
</cross-domain-policy>
这是很标准的做法,我就让我自己的域以及我的子域来获取数据。

淘宝的:

http://www.taobao.com/crossdomain.xml

<cross-domain-policy>
<allow-access-from domain=”*.taobao.com”/>
<allow-access-from domain=”*.taobao.net”/>
<allow-access-from domain=”*.taobaocdn.com”/>
<allow-access-from domain=”*.allyes.com”/>
</cross-domain-policy>
红色的一行是淘宝的CDN所在的域,所谓内容分发网络。

绿色的一行是淘宝的广告商了,http://www.allyes.com/好耶广告网络,只是不清楚是不是仍然再卖淘宝的广告?

多看几个大网站的crossdomain.xml,也可以知道可能是什么网络广告商给它们在打广告。

比如彭博:http://www.bloomberg.com/crossdomain.xml

<cross-domain-policy>
<allow-access-from domain=”localhost”/>
<allow-access-from domain=”10.16.136.107″/>
<allow-access-from domain=”*.bloomberg.com”/>
<allow-access-from domain=”*.pointroll.com”/>
<allow-access-from domain=”*.pointroll.net”/>
</cross-domain-policy>
红色的就太不专业了,把内部IP都给暴露了。。。。。。

绿色的是彭博的广告商:PointRoll

路透的:

来源:(http://blog.sina.com.cn/s/blog_608f624f0100hz5l.html) - 关于跨域策略文件crossdomain.xml文件_傻掛_新浪博客
http://www.reuters.com/crossdomain.xml

<cross-domain-policy>
<allow-access-from domain=”*.reuters.com” secure=”false”/>
<allow-access-from domain=”ad.doubleclick.net” secure=”false”/>
<allow-access-from domain=”ad.uk.doubleclick.net” secure=”false”/>
<allow-access-from domain=”m.2mdn.net” secure=”false”/>
<allow-access-from domain=”m2.2mdn.net” secure=”false”/>
</cross-domain-policy>
广告给了doubleclick来做(绿色)

2mdn.net看不懂是干嘛的,大概是个cdn吧。

滥情的facebook:

http://www.facebook.com/crossdomain.xml

<?xml version=”1.0″?>
<!DOCTYPE cross-domain-policy SYSTEM “http://www.adobe.com/xml/dtds/cross-domain-policy.dtd”>
<cross-domain-policy>
<site-control permitted-cross-domain-policies=”master-only” />
<allow-access-from domain=”s-static.facebook.com” />
<allow-access-from domain=”static.facebook.com” />
<allow-access-from domain=”static.api.ak.facebook.com” />
<allow-access-from domain=”*.static.ak.facebook.com” />
<allow-access-from domain=”s-static.thefacebook.com” />
<allow-access-from domain=”static.thefacebook.com” />
<allow-access-from domain=”static.api.ak.thefacebook.com” />
<allow-access-from domain=”*.static.ak.thefacebook.com” />
<allow-access-from domain=”*.static.ak.fbcdn.com” />
<allow-access-from domain=”external.ak.fbcdn.com” />
<allow-access-from domain=”*.static.ak.fbcdn.net” />
<allow-access-from domain=”external.ak.fbcdn.net” />
<allow-access-from domain=”www.facebook.com” />
<allow-access-from domain=”www.new.facebook.com” />
<allow-access-from domain=”register.facebook.com” />
<allow-access-from domain=”login.facebook.com” />
<allow-access-from domain=”ssl.facebook.com” />
<allow-access-from domain=”secure.facebook.com” />
</cross-domain-policy>
这么多!有子域,有CDN,有thefacebook(facebook的旧域名吧?)

还是google的专业:

<?xml version=”1.0″?>
<!DOCTYPE cross-domain-policy SYSTEM “http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd”>
<cross-domain-policy>
<site-control permitted-cross-domain-policies=”by-content-type” />
</cross-domain-policy>
蓝色行的意思是,要符合要求的文件你才能取,不管你是哪来的flash数据请求。符合要求的文档必须满足:
Content-Type: text/x-cross-domain-policy


另:
当Flex访问WebService服务时,在本地能够正常访问,当部署到web容器中发布为web服务后,再调用WebServicIE,此时就会被拒绝访问,这就是Flex跨域访问的沙箱问题,
为了解决Flex跨域访问WebService的问题,可采用如下方案:
首先,跨域访问被拒绝是因为提供服务方没有配置安全策略文件,即crossdomain.xml,如果你不想用crossdomain.xml就要用到代理,即自己写一个后台读取webservice,然后提供给自己的flex应用,因为在flashplayer中,要跨域必须要有策略文件。考虑到 flashplayer升级到9.124之后,加强了安全性,之前的crossdomain.xml的写法发生了变化,以下就是该文件的完整写法:
<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<allow-access-from domain="*" />
<allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>
表示该服务允许任何外域来访问。
关于crossdomain.xml的放置目录问题,有如下解决方案,可放置在:

1) 如果这个目录是容器的根目录,可以通过以下的url访问crossdomain.xml:

http://localhost:8080/crossdomain.xml
2) 如果crossdomain.xml不是放在根目录下,而是在某个webapp下面,在flex中就需要在初始化的时候应用
Security.loadPolicyFile("http:// localhost:8080/aaa /crossdomain.xml");

其中aaa为webapp的名称
这样,外部Flex访问该服务发布的WebService时,flashplayer首先找的就是crossdomain.xml文件,若安全机制设置为允许访问,则访问成功。
pianfeng20080101_163
关注
专栏目录
flash跨域策略文件crossdomain.xml配置详解以及防范措施.docx
04-27
flash跨域访问策略。渗透测试时检查crossdomain.xml配置信息,应当重点检查allow-access-from=*、allow-http-request-headers-from=*、site-control=allow将会导致漏洞。特别注意参数为*和all,当站内没有crossdomain.xml时将不允许flash跨域访问。不会导致漏洞
flash跨域策略文件crossdomain.xml配置详解
chen8511的专栏
08-19 859
flash跨域时唯一的限制策略就是crossdomain.xml文件,该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据。 位于www.a.com域中的SWF文件访问www.b.com的文件时,SWF首先会检查www.b.com服务器目录下是否有crossdomain.xml文件,如果没有,则访问不成功;若crossdomain.xml文件存在,且里边设置了允许
文件上传-配置文件】crossdomain.xml跨域策略配置文件上传
最新发布
Cc040909的博客
09-03 370
一、0x00 前言在很多地方都会见查是否跨域比如某些特定的步骤、CSRF、flash跨域劫持等链接2、crossdomain.xml文件一般在根目录下(在根目录下的配置文件称为“主策略文件”)。若在根目录不存在主策略文件,则该域将禁止任何第三方域的flash跨域请求3、crossdomain.xml格式其中www.xxx.com是可信任的域名4、crossdomain.xml相关参数。
让swf跨域传输数据
SpallationMetamorph的专栏
08-20 194
使用crossdomain.xml跨域传输数据   一、概述 位于www.mzwu.com域中的SWF文件访问www.163.com的文件时,SWF首先会检查163服务器目录下是否有crossdomain.xml文件,如果没有,则访问不成功;若crossdomain.xml文件存在,且里边设置了允许www.mzwu.com域访问,那么通信正常。所以要使Flash可以...
SSM(六)跨域传输
crossoverJie专栏
10-18 4514
前言不知大家在平时的开发过程中有没有遇到过跨域访问资源的问题,我不巧在上周就碰到一个这样的问题,幸运的是在公司前端同学的帮忙下解决了该问题。什么是跨域问题?
Flash:彻底理解crossdomain.xml、跨swf调用。
weixin_34240520的博客
05-15 218
安全域、crossdomain.xml,到处都有各种各种零碎的基础解释,所以这里不再复述这些概念。 本文目的是整理一下各种跨域加载的情况。什么时候会加载crossdomain,什么时候不加载。   1、Loader加载图片或者swf,只要不是加载到同个安全域,都不需要拉取crossdomain.xml。获取在LoaderContext指定true,必须拉取。      但如果后续,要读取图...
Flash跨域策略文件crossdomain.xml详解与安全指南
本文主要介绍了Flash跨域策略文件crossdomain.xml的...crossdomain.xmlFlash跨域访问的核心,它的正确配置和安全管理对于防止潜在的跨域攻击至关重要。了解并严格控制其配置可以有效地保护网站免受不必要的安全威胁。
webloigc 中设置 flex crossdomain.xml 文件
03-24
`crossdomain.xml`文件是Adobe Flex应用程序用于定义安全策略的一个关键组件,它允许来自不同源的Flash Player或Flex客户端与服务器进行通信。本篇文章将深入探讨如何在WebLogic环境中设置这个文件,以及它对跨域...
ArcGIS server tomcat crossdomain.xml
03-27
为了实现跨域访问,我们需要在Tomcat服务器的根目录下创建一个名为`crossdomain.xml`的文件。这个文件应该包含以下内容: ```xml <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE cross-domain-policy SYSTEM ...
Tomcat配置跨域策略:理解crossdomain.xml
- `site-control`元素定义了当前域的元策略,控制客户端是否可以使用除`crossdomain.xml`之外的策略文件。 - `allow-access-from`元素用于授权特定源域的访问,可以使用通配符(*)允许所有域,也可以指定特定域。 ...
swfupload 跨域问题
07-28
NULL 博文链接:https://tanghaidi.iteye.com/blog/741663
Flash/ActionScript 解决跨域问题的策略文件crossdomain.xml的写法
RoadToTheExpert的专栏
06-10 2403
在做视频截图的时候遇到了 Flash 安全沙箱 错误,到网上找了很多方法,弄了半天,搞得心烦意乱,最后才解决。在这里记下来。 使用 BitmapData.draw Flash弹出这个错误 SecurityError: Error #2123: 安全沙箱冲突:BitmapData.draw: xxx.swf 不能访问 null。未被授权访问任何策略文件。 解决方法:(反正我
crossdomain.xml 对于 flash跨域调用文件的使用
liuhelong12的博客
12-16 2038
前提:公司内部图片管理系统采用了网站系统和图片分开管理,而图片管理系统中采用了 Simpleviewer flash插件进行图片浏览。 之前一个系统上图片幻灯浏览是没问题的,但是分开2服务器后就不行了。 一开始以为只是地址调用错误,发现地址调整后还是存在这个问题。 通过开发人员工具发现,在载入幻灯页的时候,会出现一个crossdomain.xml 加载失败的报错。 网上查了下,
跨域传输
weixin_42937036的博客
05-29 749
非同源限制 cookie、LocalStorage和indexDB无法获取 无法操作其他源下的DOM Ajax请求不能发送 JSONP 原理 script标签中的src可进行跨域,且脚本具有加载完就立即执行的特点 前端将要跨域的url和要执行的函数名拼接作为src的值 服务器取出函数名,将要传的值放在函数参数中,拼接为字符串返回 缺点: 需要前后端配合 只能进行get跨域 具体操作 前端 <script> function func(data){ //打印服务器返回的数
使用crossdomain.xmlFlash可以跨域传输数据(转)
Q天空
12-26 167
本文来自http://www.mzwu.com/article.asp?id=975 一、概述 位于www.mzwu.com域中的SWF文件访问www.163.com的文件时,SWF首先会检查163服务器目录下是否有crossdomain.xml文件,如果没有,则访问不成功;若crossdomain.xml文件存在,且里边设置了允许www.mzwu.com域访问,那么通信正常。所以要...
JavaScript 跨域传输数据
weixin_62604823的博客
07-20 247
js跨域之间的通信
关于flash/flex的程序跨域访问swf或者图片资源
natian306的专栏
06-30 2430
subject of application domain of flash and air.在flashflex中,程序加载外部swf文件,该文件的程序域默认为主程 序域的一个子域中。比如你使用A.swf加载B.swf文件,B被加载后,成为A程序域的一个子域,子域是申明类的时,不能覆盖父类已申明类:如果A中定 义了类com.sogou.Map类,同时B中也定义了com.sogou.Map类,但是当B加入到A的程序域时,先检查A程序域中是否已存在一个类。 如果存在,则使用该已存在类,否则申明属于B子程序域
跨域、跨文档传输数据(三)---- postMessage ; 实现跨文档消息传输;
JYX8
06-08 1915
之前写过两篇解决跨文档消息传输的解决方案。其中 一种使用了MessageJS的插件方法,其实MessageJS这个插件的原理就是使用了HTML5提供的postMessage;一下讲讲,postMessage的实际用法以及基本知识:HTML5提供了在网页之间互相接受与发送消息的功能;可以获取到网页所在窗口的对象实例,不进同源(域+端口号)的web网页之间的互相通信,也可以实现跨域通信;首先:想 要接收
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值