Tomcat/IIS 的跨区域访问问题

最新推荐文章于 2023-06-02 23:58:05 发布
最新推荐文章于 2023-06-02 23:58:05 发布
阅读量1.8k 收藏
点赞数 1
分类专栏: 硬件驱动开发

转载地址:

http://blog.csdn.net/liumm0000/article/details/8443550

无论是Silverlight还是Flex都要解决跨域访问问题,这样设计就是为了安全。

如果为了安全可以指定那个跨域到那个服务器上,如果在外网上切记。

此文档适用于Silverlight/Flex+IIS/Tomcat等架构模式。

若允许Tomcat所有域访问,将clientaccesspolicy.xml和crossdomain.xml加入%TOMCAT_HOME%\webapps\ROOT 目录下即可

clientaccesspolicy.xml

<?xml version="1.0" encoding="utf-8" ?>
<access-policy>
  <cross-domain-access>
    <policy>
      <allow-from http-request-headers="*">
        <domain uri="*"/>
      </allow-from>
      <grant-to>
        <resource path="/" include-subpaths="true"/>
      </grant-to>
    </policy>
  </cross-domain-access>
</access-policy>


crossdomain.xml

<?xml version="1.0"?>

<cross-domain-policy>

<allow-access-from domain="*" />

</cross-domain-policy>


再看看微软:

                使服务跨域边界可用 

 

使用 Silverlight 版本 4 进行跨域通信需要预防几种类型的安全漏洞,它们可被用于违法利用 Web 应用程序。“跨站点伪造”(Cross-site forgery) 作为一种利用手段,在允许跨域调用时会成为威胁。此利用手段包括在用户不知情的情况下向第三方服务传输未授权命令的恶意 Silverlight 控件。为了避免跨站点请求伪造,对于除图像和媒体之外的其他所有请求,Silverlight 在默认情况下只允许源站点通信。例如,在 http://contoso.com/mycontrol.aspx 上承载的 Silverlight 控件默认只能访问同一域中的服务(例如 http://contoso.com/service.svc),而不能访问位于 http://fabrikam.com/service.svc 的服务。这可以避免在 http://contoso.com 域上承载的恶意 Silverlight 控件对 http://fabrikam.com 域上承载的服务调用未授权操作。

若要允许 Silverlight 控件访问其他域上的服务,该服务必须明确选择允许跨域访问。通过选择,服务声明它公开的操作可以由 Silverlight 控件安全地调用,而不会对该服务存储的数据造成具有潜在危害的结果。

Silverlight 4 支持两种不同的机制供服务选择跨域访问:

  • 在承载服务的域的根目录中放置一个 clientaccesspolicy.xml 文件,以配置服务允许跨域访问。

  • 在承载服务的域的根目录中放置一个有效的 crossdomain.xml 文件。该文件必须将整个域标记为 public。Silverlight 支持 crossdomain.xml 架构的一个子集。

有关跨域访问的更多信息,请参见 Silverlight 2 中的网络安全访问限制

使用 clientaccesspolicy.xml 文件来允许跨域访问

  1. 构建允许 Silverlight 客户端访问的服务。有关如何执行此操作的更多信息,请参见如何:为 Silverlight 客户端生成服务

  2. 创建允许访问该服务的 clientaccesspolicy.xml 文件。以下配置允许从任何其他域访问当前域上的所有资源。

    <?xml version="1.0" encoding="utf-8"?>
<access-policy>
  <cross-domain-access>
    <policy>
      <allow-from http-request-headers="SOAPAction">
        <domain uri="*"/>
      </allow-from>
      <grant-to>
        <resource path="/" include-subpaths="true"/>
      </grant-to>
    </policy>
  </cross-domain-access>
</access-policy>

    或者,如果只允许从其他域中的一个进行访问(例如 http://contoso.com),则将上面 clientaccesspolicy.xml 文件的 <allow-from> 元素内的 <domain uri="*"/> 行替换为<domain uri="http://contoso.com"/> 行。

    若允许从任何通过 HTTP 应用程序承载的 Silverlight 控件访问 HTTPS 服务,则需要将 <domain uri=”http://*” /> 元素放入 <allow-from> 元素。

    标头特性的有效值包括:

    1. 通配符 (“*”) - 允许所有未列入黑名单的标头

    2. 允许标头的逗号分隔列表。这些允许的标头可以使用通配符后缀,例如,“X-CUSTOM-*”。

    若允许通过 TCP 套接字访问服务,则将 <socket-resource port="4502" protocol="tcp" /> 添加到 <grant-to> 元素,其中 4502 是承载服务的端口值。

  3. 将 clientaccesspolicy.xml 文件保存到承载该服务的域的根目录中。例如,如果该服务在 http://fabrikam.com 上承载,则文件必须位于 http://fabrikam.com/clientaccesspolicy.xml。

  4. 通过从其他域调用服务来测试是否已启用访问。

使用 crossdomain.xml 文件来允许跨域访问

  1. 构建允许 Silverlight 客户端访问的服务。有关如何进行此操作的更多信息,请参见如何:为 Silverlight 客户端生成服务

  2. 创建包含以下配置的 crossdomain.xml 文件。必须将该文件配置为允许从任何其他域访问服务,否则 Silverlight 4 将无法识别它。

    <?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
  <allow-http-request-headers-from domain="*" headers="SOAPAction,Content-Type"/>
</cross-domain-policy>

  3. 将 crossdomain.xml 文件保存在承载服务的域的根目录中。例如,如果该服务在 http://fabrikam.com 上承载,则该文件必须位于 http://fabrikam.com/crossdomain.xml。

  4. 通过从其他域调用服务来测试是否已允许访问该服务。

向 Microsoft 发送对本主题的评论。 

1,首先,创建crossdomain.xml文件,里面的内容是:

 <?xml version="1.0" encoding="UTF-8"?>      
 <!DOCTYPE cross-domain-policy SYSTEM      
      "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd" >      
 <cross-domain-policy>      
     <site-control permitted-cross-domain-policies="all" />      
     <allow-access-from domain="*" />      
     <allow-http-request-headers-from domain="*" headers="*"/>      
 </cross-domain-policy>

2,把这个文件拷贝到webapps的目录下和webapps/ROOT目录下面。

CORS介绍

   它在维基百科上的定义是:跨域资源共享(CORS )是一种网络浏览器的技术规范,它为Web服务器定义了一种方式,允许网页从不同的域访问其资源。而这种访问是被同源策略所禁止的。CORS系统定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。 它是一个妥协,有更大的灵活性,但比起简单地允许所有这些的要求来说更加安全。

   而W3C的官方文档目前还是工作草案,但是正在朝着W3C推荐的方向前进。

   简言之,CORS就是为了让AJAX可以实现可控的跨域访问而生的。


Tomcat下的配置

   下载cors-filter-1.7.jar,java-property-utils-1.9.jar这两个库文件,放到lib目录下。(可在

http://search.maven.org上查询并下载。)工程项目(如:geoserver)中web.xml中的配置如下:  


   <filter>

       <filter-name>CORS</filter-name>

       <filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>

       <init-param>

        <param-name>cors.allowOrigin</param-name>

           <param-value>*</param-value>

       </init-param>

       <init-param>

        <param-name>cors.supportedMethods</param-name>

           <param-value>GET, POST, HEAD, PUT, DELETE</param-value>

       </init-param>

       <init-param>

        <param-name>cors.supportedHeaders</param-name>

           <param-value>Accept, Origin, X-Requested-With, Content-Type, Last-Modified</param-value>

       </init-param>

       <init-param>

           <param-name>cors.exposedHeaders</param-name>

           <param-value>Set-Cookie</param-value>

       </init-param>

       <init-param>

           <param-name>cors.supportsCredentials</param-name>

           <param-value>true</param-value>

       </init-param>

   </filter>


   <filter-mapping>

       <filter-name>CORS</filter-name>

       <url-pattern>/*</url-pattern>

   </filter-mapping>




鹧鸪菜
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat区域访问问题
liumm0000的专栏
12-27 2万+
若允许Tomcat所有域访问,将clientaccesspolicy.xml和crossdomain.xml加入%TOMCAT_HOME%\webapps\ROOT 目录下即可 clientaccesspolicy.xml crossdomain.x
tomcat6访问配置及jar包
07-05
配置tomcat6的访问问题,包含两个xml配置文件clientaccesspolicy.xml,crossdomain.xml,以及两个jar包cors-filter-1.7.1.jar,java-property-utils-1.9.1.jar
域文件clientaccesspolicy.xml
weixin_33709590的博客
03-01 427
有时候一些程序需要访问,会出现错误,这时候需要把域文件放在web服务器下,允许访问,比如IIS,把clientaccesspolicy.xml文件放在wwwroot文件夹目录下就可以了,clientaccesspolicy.xml文件结构 &lt;?xml version="1.0" encoding="utf-8"?&gt;&lt;access-policy&gt;    &lt;c...
crossdomain.xml和clientaccesspolicy.xml
老陈代码记录
11-13 2130
按照现在社区里大多数的silverlight 2.0教程,在做到与webservice通信的时候通常会遇到这样一个问题,就是crossdomainerror.而关于crossdomain.xml和clientaccesspolicy.xml这两个文件所提及的更是少之又少,甚至在网络上搜索都是关于flash或者flex的.我一直就被这个问题困扰着. 看到silverlight.net上的新视频
Web安全漏洞笔记整合
LYSM
04-12 849
高危漏洞 1.Struts2代码执行漏洞:struts2就是一个框架,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令 Jakarta插件:一个开源项目,包括Tomcat、Struts等 HTTP请求头:比如浏览器向服务器发送请求时,必须声明请求类型,这个请求类型就包含在...
域文件 clientaccesspolicy.xml
weixin_30439067的博客
11-14 320
<?xml version="1.0" encoding="utf-8" ?> <access-policy> <cross-domain-access> <policy> <allow-from http-request-headers="*"> <domain ur...
flash上传头像剪裁预览组件 v2.1
04-22
1.上传到 apache,iistomcat 服务器,通过域名访问 index.html 例如:http://localhost/index.html 2.确定存储图片目录可写权限, iis+win 存储图片目录是 everyone 用户,apache+linux,需要可写权限(777) 3....
仿新浪微博flash上传头像组件演示 v1.0.zip
07-05
1. 懒人用户可以直接运行aspweb.exe(小型IIS服务器)即可打开页面,或者上传到 apache,iistomcat 服务器,通过域名访问 index.html 例如:http://localhost/index.html   2.程序源代码里都有备注,一看就能...
Flash头像上传剪裁预览组件 v2.0.rar
08-29
1.上传到 apache,iistomcat 服务器,通过**访问 index.html 例如:http://localhost/index.html 2.确定存储图片目录可写权限, iis win 存储图片目录是 everyone 用户,apache linux,需要可写权限(777) 3.调试...
asp.net上传头像预览裁剪源码
02-01
上传到 apache,iistomcat 服务器,通过域名访问 index.html 例如:http://localhost/index.html 功能介绍: 1.上传并预览,用户可以任意选择区域,支持头像旋转 2.支持上传成功,js 回调函数 3.无论...
CSRF站请求伪造,含使用教程和测试工具
05-04
CSRF站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修改测试的请求成功被网站服务器接受,则说明存在CSRF漏洞。
flash上传头像预览裁剪
07-05
上传到 apache,iistomcat 服务器,通过域名访问 index.html 例如:http://localhost/index.html v1.5 1.修复图片像素超过2880上传失败bug 2.修复旋转,裁剪框超出bug v1.3 1.新增加上传成功,遮罩提醒 2....
解决站脚本注入,站伪造用户请求,sql注入等http安全漏洞
weixin_30877493的博客
03-09 583
本篇文章总结于各大博客 版权声明:本文为博主原创文章,欢迎大家转载。如有错误请多多指教。 https://blog.csdn.net/u011794238/article/details/46419911站脚本就是在url上带上恶意的js关键字然后脚本注入了,站伪造用户请求就是没有经过登陆,用超链接或者直接url上敲地址进入系统,类似于sql注入这些都是安全漏洞。 sql注入...
常见安全漏洞及整改建议[备忘]
热门推荐
Terry Tsang
12-27 2万+
常见安全漏洞与整改方案
token的应用场景
Rad的博客
07-20 7136
1.基于Token的身份验证 之前Web就是文档的浏览,不需要记录谁浏览了什么文档,随着交互式Web应用的兴起,像电子商城等网站,就需要知道那些人登录了系统。由于http是无状态的会话,所以我们需要一个东西来记录。 我们目前使用的是三种: (1)session:在服务器端记录,每一个会话会产生一个session id。session的中文翻译是“会话”,当用户打开某个...
常见安全漏洞及整改建议
sjh_c513的专栏
12-09 4396
1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买
站请求伪造(CSRF)攻击原理及预防手段
m0_47905795的博客
06-02 5527
随机化Token(CSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
IIS 解决问题
guzicheng1990的博客
05-21 5075
环境 windows server 2008 IIS 7 说明 为解决IIS发布资源前端调用报错问题 解决方案 点击发布网站,在右侧"功能视图"中,找到"HTTP 响应标头",双击进入 点击页面右侧"添加" 分别添加如下键值对 Access-Control-Allow-Headers:Content-Type, api_key, Authorization Access-Control-Allow-Origin:* Access-Control-Allow-Methods:GE.
IIS解决问题
weixin_51326081的博客
01-21 2505
解决需要访问IIS上的资源时出现域的问题
-exclude=tomcat/logs tomcat
最新发布
06-14
命令`-exclude=tomcat/logs tomcat`通常用于文件或目录操作中,比如在Linux的`find`命令或者Git的忽略设置中。它表示在查找指定目录(这里是`tomcat`)时,应该跳过名为`logs`的子目录。这样可以避免搜索或提交包含...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值