Stream 多文件跨域上传的策略文件

当你想要单独部署一个文件服务器区分于应用服务器，你的文件上传就要直接从应用服务器的前端页面传到应用服务器的文件上传应用上，这时就是跨域上传了。例如：从a.com传到b.com。如果你没在文件服务器上添加跨域策略文件，那么你从F12上就会看到找不到crossdomain.xml文件，也就是策略文件，文件上传失败，拒绝访问。

 跨域原理简单点理解就是发起跨域请求的时候，浏览器会对请求的域返回的响应信息检查HTTP头，如果

Access-Control-Allow-Origin包含了自身域，则表示允许访问。否则报错，这就是allowedOrigins的作用。

通配策略文件（无限制访问）：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE cross-domain-policy SYSTEM
"http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd" >
<cross-domain-policy>
<site-control permitted-cross-domain-policies="all" />
<allow-access-from domain="*" />
<allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>

通配策略文件（限制访问）《推荐使用》：

<?xml version="1.0"?> 
<!-- http://www.aeroflash.org/crossdomain.xml --> 
<cross-domain-policy> 
<allow-access-from domain="www.friendOfAeroflash.org" /> 
<allow-access-from domain="*.aeroflash.org" /> 
<allow-access-from domain="123.321.0.1" /> 
</cross-domain-policy> 

• cross-domain-policy 
  cross-domain-policy元素是跨域策略文件crossdomain.xml的根元素。它只是一个策略定义的容器，没有自己的属性。子元素有： 
  
  • site-control
  • allow-access-from
  • allow-access-from-identity
  • allow-http-request-headers-from

• site-control 
  site-control元素用于定义当前域的元策略。元策略则是用于指定可接受的域策略文件，且该文件不同于目标域根元素(名为crossdomain.xml)中的主策略文件。 
  如果客户端收到指示使用主策略文件以外的策略文件，则该客户端必须首先检查主策略的元策略，以确定请求的策略文件是否获得许可。 
  属性：

  • permitted-cross-domain-policies 
    指定元策略。除套接字策略文件外，所有策略文件的默认值均为master-only，套接字策略文件的默认值为all。该属性允许的值有： 
    
    • none：目标服务器上的任何位置(包括该主策略文件)均不允许使用策略文件。
    • master-only：仅允许这个主策略文件。
    • by-content-type：仅允许Content-Type:text/x-cross-domain-policy提供的策略文件(只适用于HTTP/HTTPS)。
    • by-ftp-filename：仅允许文件名为crossdomain.xml的策略文件。(只适用于FTP)
    • all：允许此目标域中所有的策略文件。

• allow-access-from 
  allow-access-from元素用于授权发出请求的域从目标域中读取数据。可以通过使用通配符(*)，为多个域设置访问权限。 
  属性：

  • domain：指定要授予访问权限的发出请求的域。可以是域名或IP地址。子域将被视为不同的域。指定域时可以使用通配符星号( * )表示多个域。单独使用星号( * )表示所有域。一般不建议设置为星号允许所有域访问。
  • to-ports：只适用于Sockets，以逗号分隔的端口列表，或者允许连接到套接字连接的一系列端口。端口范围通过在两个端口号之间插入短划线 (-) 指定。端口范围在用逗号隔开时则可以用于指代单个端口。一个通配符 (*) 可用于表示允许所有端口。
  • secure：只只适用于HTTPS和Sockets，指定仅授予指定来源的 HTTPS 文档的访问权限 (true)，还是授予指定来源的所有文档的访问权限 (false)。如果 HTTPS 策略文件中未指定 secure，则默认为 true。不建议在 HTTPS 策略文件中使用 false，因为这会影响 HTTPS 的安全性。在套接字策略文件中，默认值为 false。只有当套接字服务器接受本地主机连接时，指定 secure=”true” 才有意义，因为本地套接字连接通常不会面临中间人攻击的风险，因此无法更改 secure=”true” 声明。
• allow-access-from-identity 
  allow-access-from-identity元素根据加密凭据授予权限，而 allow-access-from 则截然不同，它根据来源授予权限。
• allow-http-request-headers-from 
  allow-http-request-headers-from元素用于授权发出请求的域中的请求文档将用户定义的标头发送到目标域。而 allow-access-from 元素旨在授权从目标域提取数据。这个标签授权以标头的形式推送数据。 
  属性： 
  
  • domain：指定要授予访问权限的的域。可以是域名，也可以是IP地址，子域将被视为不同的域。通配符 (*) 单独使用时可用于表示所有域，在用作以句点 (.) 分隔的明确二级域名前缀时表示多个域。表示单个域时需要使用单独的 allow-access-from 元素。
  • headers：以逗号分隔的标头列表，表示允许发送的请求域。通配符 (*) 可用于准许所有标头或头后缀，从而支持以相同字符开头但以不同字符结尾的标头。
  • secure：只适用于HTTPS，如果设置为 false，则表示允许 HTTPS 策略文件授权访问 HTTP 源发出的请求。默认值为 true，表示仅提供 HTTPS 源权限。我们不推荐使用 false。

这个文件要放在\apache-tomcat-8.5.24\webapps\ROOT下。