(XF - 10)Flex 沙箱安全(转)

最新推荐文章于 2024-08-02 11:09:34 发布
最新推荐文章于 2024-08-02 11:09:34 发布
阅读量93 收藏
点赞数
分类专栏: Flex 文章标签: Flex XML WebService Facebook 网络应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao_feng68/article/details/83779989
版权
下载flexpaper源码修改后做成swf阅读器,要加入待阅读的swf文件,可以在flex里调用js的方法来获取swf文件的路径的方法,在js只专注获取路径就行,等着flex来调用:但这里会遇到一个问题那就是出现安全问题,如下的提示: Error #2044: 未处理的 onDocumentLoadedError:。 text=Error #2048: 安全沙箱冲突:http://localhost:8080/UpLoadAndDownLoad/FlexPaper.swf 不能从 http://127.0.0.1:8080/MyFileConvert/ConvertFile/application1/2.swf 加载数据。这个是由flash的跨域传输数据的安全问题所引起的,当我在tomcat的webapps/ROOT目录里加入如下文件时就可以解决这个安全问题所引去的swf的文件的不能用的问题,不过这里是将swf文件公开给所有的IP访问,所以有安全问题:


Xml代码
<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="*"/>
</cross-domain-policy>

<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="*"/>
</cross-domain-policy>


下面转载一下关于跨域问题的内容:



关于跨域策略文件crossdomain.xml文件


http://www.xiaonei.com/crossdomain.xml

<!– http://www.xiaonei.com/ –>
Xml代码
<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="*.xiaonei.com" />
<allow-access-from domain="xiaonei.com" />
</cross-domain-policy>

<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="*.xiaonei.com" />
<allow-access-from domain="xiaonei.com" />
</cross-domain-policy>


这是很标准的做法,我就让我自己的域以及我的子域来获取数据。

淘宝的:

http://www.taobao.com/crossdomain.xml

Xml代码
<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="*.taobao.com" />
<allow-access-from domain="*.taobao.net" />
<allow-access-from domain="*.taobaocdn.com" />
<allow-access-from domain="*.allyes.com" />
</cross-domain-policy>

<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="*.taobao.com" />
<allow-access-from domain="*.taobao.net" />
<allow-access-from domain="*.taobaocdn.com" />
<allow-access-from domain="*.allyes.com" />
</cross-domain-policy>
红色的一行是淘宝的CDN所在的域,所谓内容分发网络。

绿色的一行是淘宝的广告商了,http://www.allyes.com/好耶广告网络,只是不清楚是不是仍然再卖淘宝的广告?

多看几个大网站的crossdomain.xml,也可以知道可能是什么网络广告商给它们在打广告。

比如彭博:http://www.bloomberg.com/crossdomain.xml

Xml代码
<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="localhost" />
<allow-access-from domain="10.16.136.107"/>
<allow-access-from domain="*.bloomberg.com" />
<allow-access-from domain="*.pointroll.com" />
<allow-access-from domain="*.pointroll.net" />
</cross-domain-policy>

<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="localhost" />
<allow-access-from domain="10.16.136.107"/>
<allow-access-from domain="*.bloomberg.com" />
<allow-access-from domain="*.pointroll.com" />
<allow-access-from domain="*.pointroll.net" />
</cross-domain-policy>
红色的就太不专业了,把内部IP都给暴露了。。。。。。

绿色的是彭博的广告商:PointRoll

路透的:

http://www.reuters.com/crossdomain.xml

Xml代码
<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="*.reuters.com" secure="false" />
<allow-access-from domain="ad.doubleclick.net"
secure="false" />
<allow-access-from domain="ad.uk.doubleclick.net"
secure="false" />
<allow-access-from domain="m.2mdn.net" secure="false" />
<allow-access-from domain="m2.2mdn.net" secure="false" />
</cross-domain-policy>

<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy>
<allow-access-from domain="*.reuters.com" secure="false" />
<allow-access-from domain="ad.doubleclick.net"
secure="false" />
<allow-access-from domain="ad.uk.doubleclick.net"
secure="false" />
<allow-access-from domain="m.2mdn.net" secure="false" />
<allow-access-from domain="m2.2mdn.net" secure="false" />
</cross-domain-policy>
广告给了doubleclick来做(绿色)

2mdn.net看不懂是干嘛的,大概是个cdn吧。

滥情的facebook:

http://www.facebook.com/crossdomain.xml

Xml代码
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<site-control permitted-cross-domain-policies="master-only" />
<allow-access-from domain="s-static.facebook.com" />
<allow-access-from domain="static.facebook.com" />
<allow-access-from domain="static.api.ak.facebook.com" />
<allow-access-from domain="*.static.ak.facebook.com" />
<allow-access-from domain="s-static.thefacebook.com" />
<allow-access-from domain="static.thefacebook.com" />
<allow-access-from domain="static.api.ak.thefacebook.com" />
<allow-access-from domain="*.static.ak.thefacebook.com" />
<allow-access-from domain="*.static.ak.fbcdn.com" />
<allow-access-from domain="external.ak.fbcdn.com" />
<allow-access-from domain="*.static.ak.fbcdn.net" />
<allow-access-from domain="external.ak.fbcdn.net" />
<allow-access-from domain="www.facebook.com" />
<allow-access-from domain="www.new.facebook.com" />
<allow-access-from domain="register.facebook.com" />
<allow-access-from domain="login.facebook.com" />
<allow-access-from domain="ssl.facebook.com" />
<allow-access-from domain="secure.facebook.com" />
</cross-domain-policy>

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<site-control permitted-cross-domain-policies="master-only" />
<allow-access-from domain="s-static.facebook.com" />
<allow-access-from domain="static.facebook.com" />
<allow-access-from domain="static.api.ak.facebook.com" />
<allow-access-from domain="*.static.ak.facebook.com" />
<allow-access-from domain="s-static.thefacebook.com" />
<allow-access-from domain="static.thefacebook.com" />
<allow-access-from domain="static.api.ak.thefacebook.com" />
<allow-access-from domain="*.static.ak.thefacebook.com" />
<allow-access-from domain="*.static.ak.fbcdn.com" />
<allow-access-from domain="external.ak.fbcdn.com" />
<allow-access-from domain="*.static.ak.fbcdn.net" />
<allow-access-from domain="external.ak.fbcdn.net" />
<allow-access-from domain="www.facebook.com" />
<allow-access-from domain="www.new.facebook.com" />
<allow-access-from domain="register.facebook.com" />
<allow-access-from domain="login.facebook.com" />
<allow-access-from domain="ssl.facebook.com" />
<allow-access-from domain="secure.facebook.com" />
</cross-domain-policy>
这么多!有子域,有CDN,有thefacebook(facebook的旧域名吧?)

还是google的专业:

Xml代码
<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<site-control permitted-cross-domain-policies="by-content-type" />
</cross-domain-policy>

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<site-control permitted-cross-domain-policies="by-content-type" />
</cross-domain-policy>
蓝色行的意思是,要符合要求的文件你才能取,不管你是哪来的flash数据请求。符合要求的文档必须满足:Content-Type: text/x-cross-domain-policy



另:



当Flex访问WebService服务时,在本地能够正常访问,当部署到web容器中发布为web服务后,再调用WebServicIE,此时就会被拒绝访问,这就是Flex跨域访问的沙箱问题,为了解决Flex跨域访问WebService的问题,可采用如下方案:首先,跨域访问被拒绝是因为提供服务方没有配置安全策略文件,即crossdomain.xml,如果你不想用crossdomain.xml就要用到代理,即自己写一个后台读取webservice,然后提供给自己的flex应用,因为在flashplayer中,要跨域必须要有策略文件。考虑到 flashplayer升级到9.124之后,加强了安全性,之前的crossdomain.xml的写法发生了变化,以下就是该文件的完整写法:
Xml代码 <?xml version="1.0"?> <!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd"> <cross-domain-policy> <allow-access-from domain="*" /> <allow-http-request-headers-from domain="*" headers="*" /> </cross-domain-policy> <?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<allow-access-from domain="*" />
<allow-http-request-headers-from domain="*" headers="*" />
</cross-domain-policy>
表示该服务允许任何外域来访问。关于crossdomain.xml的放置目录问题,有如下解决方案,可放置在:1) 如果这个目录是容器的根目录,可以通过以下的url访问crossdomain.xml: http://localhost:8080/crossdomain.xml 。2) 如果crossdomain.xml不是放在根目录下,而是在某个webapp下面,在flex中就需要在初始化的时候应用 Security.loadPolicyFile("http:// localhost:8080/aaa /crossdomain.xml"); 其中aaa为webapp的名称
xiao_feng68
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
flex 安全沙箱问题备忘
10-28
当a.com中的flash要访问b.com中的资源(如图片等)时,flex会提示安全沙箱错误!
java10-sandbox:Java 10沙箱
05-18
Java10沙箱我在Java 10中的试用版。编译并运行在收藏夹终端中打开项目并运行以下命令: javac -d "./out/http" $(find . -path \*http/\*.java) javac -d "./out/bootstrap" -p "./out/http" $(find . -path \*...
Cuckoo沙箱各Ubuntu版本安装及使用
小白的博客
10-07 1984
Cuckoo 是一款用Python 编写的开源的自动化恶意软件分析系统
XF - 1)ActionScript 3.0 Socket编程
xiao_feng68的专栏
04-14 91
在使用ActionScript3.0进行编程的时候需要注意以下问题: 1、与Socket服务器建立连接。 2、向Socket服务器发送数据。 3、从Socket服务器读数据。 4、同Socket服务器进行握手,并确定收到了什么样的数据和如何处理这些数据。 5、与Socket服务器断开,或者当服务器想与你断开的时候发消息给你。 6、处理使用Socket时候引发的错误。 实例详解: ...
pacman-Qq
feiyu5323的专栏
07-31 3316
导航 (返回顶部) 1. 主要包列表 1.1 字段说明 1.2 pacreport配置文件 1.3 list1: Qe(base, xfce组等)229 2. 大部分作为依赖安装的包 2.1 list2: Qd(lib*)198 2.2 list3: Qd(python*)19 2.3 list4: Qd()240 1. 主要包列表 1.1 字段说明 1.2...
HarmonyOS应用开发者高级认证题目(7月新版,答案&解析,持续更新)
专注移动开发
08-02 1726
A.标记了@Reuseable的自定义组件的父组件范围内B.整个应用内都可以复用C.整个页面都可以复用D.标记了@Reuseable的自定义组件的外层容器节点范围内解析:A。当标记了。
Cilium:BPF和XDP参考指南
RToax
10-30 1920
Table of Contents BPF体系结构 指令系统 辅助功能 地图 对象固定 尾叫 BPF到BPF呼叫 准时制 硬化 减负 工具链 开发环境 虚拟机 本文档部分针对希望深入了解BPF和XDP的开发人员和用户。阅读本参考指南可能有助于拓宽您对Cilium的了解,但不是必须使用Cilium。请参阅入门指南和体系结构以获得更高级的介绍。 BPF是Linux内核中一种高度灵活且高效的类似于虚拟机的构造,允许以安全的方式在各个挂钩点执行字节码。它被用于许多Linux..
Linux bpf 3.2、BPF and XDP Reference Guide
pwl999的博客
09-14 6845
开源软件Cilium深度的使用了BPF来做网络安全,它的文档中使用了一个章节专门的来介绍BPF的原理和使用。 参考原文:BPF and XDP Reference Guide 注意:本文档部分针对的是希望深入了解BPF和XDP的开发人员和用户。尽管阅读本参考指南可能有助于拓宽你对Cilium的理解,但使用Cilium并不是必须的。请参考入门指南和概念以获得更高级别的介绍。 BPF是L...
电信设备-克服flex安全沙箱限制的视频像素信息采集存储的方法.zip
09-14
"克服flex安全沙箱限制的视频像素信息采集存储的方法"是一个关键的技术议题,主要涉及的是如何在受到Adobe Flex安全沙箱限制的环境中有效地获取和存储视频帧的像素数据。Flex是一种基于ActionScript 3的开放源代码...
flex 沙箱安全问题
08-12
### flex沙箱安全问题 #### 一、概述 在Flex应用程序开发过程中,远程对象(RemoteObject)服务常常被用于客户端与服务器之间的数据交互。但在实际应用中,由于跨域策略的限制,可能会遇到Error #2048这样的错误...
FLEX安全沙箱实用指南
04-28
### FLEX安全沙箱实用指南 #### 一、引言 在进行FLEX开发时,了解和掌握FLEX安全沙箱机制对于确保应用程序的安全性至关重要。本文将详细介绍FLEX安全沙箱的相关概念及其应用场景,帮助开发者更好地理解如何在...
欧宝丽3D43V40等离子电视(ZPS46G机芯)维修手册.rar
08-13
欧宝丽3D43V40等离子电视(ZPS46G机芯)维修手册
HW数据治理方法论与实践解决方案.pptx
08-13
HW数据治理方法论与实践解决方案.pptx
JAVA音像店租赁管理系统的设计与实现(源代码+lw).zip
最新发布
08-13
随着信息技术在管理上的广泛应用,管理信息系统(MIS)的实施在技术上已经逐步成熟。企业要生存、要发展、要高效率地把企业活动有效组织起来,就必须加强对企业内部各种资源(人、财、物)的有效管理,建立与自身特点相适应的管理信息系统。 本音像店管理租赁管理系统,设计并且完成了一个小型的音像店管理信息系统,使得经营者以及普通用户能对影碟的历史记录等进行操作。 本音像店租赁管理系统是一个典型的管理信息系统,在J2EE架构的基础下实现模块化,使用Struts和Hibernate技术实现并完成。在该系统的设计和实现过程中,采用了一些新技术,使其具有了良好的扩展性以及最大程度上降低了耦合。
财务收支管理系统(按月自动计算).xlsx
08-13
工资表,财务报表,对账表,付款申请,财务报告,费用支出表,财务收支 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
整站程序,基于PHP+MySQL开发的与非IT数码产品门户程序-ityesno,内含完整源代码,数据库脚本
08-13
整站程序,基于PHP+MySQL开发的与非IT数码产品门户程序_ityesno,内含完整源代码,数据库脚本 安装步骤: 1.把ityesno.sql.gz还原,直接在phpmyadmin中还原即可。 2.更改const.php和include/config.php中数据库信息。 3.上传其他文件到网站相应目录。 4.嗒嗒嗒嗒~到此完成~ 说明: 1.本程序改自dreamarticle,改动较大,适合做一个数码产品类网站,目前这类程序有空白,故发布供网友参考,再次感谢DA的作者 枯木。 2.本程序免费,用户自由选择是否使用,在使用中出现任何问题而造成的损失本人不负任何责任。 3.程序很乱,要改动的地方比较多,大家自己研究吧,有兴趣的也可以联系我。 4.应用本程序尽量留下我网站链接,吃水不忘打井人嘛。 5.后台用户名密码均为admin admin,其中投票系统在Votez文件夹有单独的后台,没有前缀的数据表是投票系统的,有兴趣的请去研究Votez这个投票程序
麦肯锡业务流程规划方法论及流程规划案例.pptx
08-13
麦肯锡业务流程规划方法论及流程规划案例.pptx
IBM-某大型集团流程优化与系统实施项目.pptx
08-13
IBM-某大型集团流程优化与系统实施项目.pptx
FLEX安全沙箱实战指南:加载与交互规则解析
"FLEX安全沙箱实用指南旨在帮助开发者理解和利用FLEX中的安全机制,特别是在处理不同域间交互时的限制和策略。本文详细介绍了四个主要的安全域:远程网络域、本地网络域、本地文件系统域和本地受信任域,并讲解了在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值