アプリケーションサーバーのルートにcrossdomain.xmlを追加することで、セキュリティ上の懸念があるのではないかと思いました。サーバーの他の部分に追加できますか?サーバーにこのファイルを配置する必要がない回避策を知っていますか?
ありがとうダミアン
アプリケーションサーバーのルートにcrossdomain.xmlを追加することで、セキュリティ上の懸念があるのではないかと思いました。サーバーの他の部分に追加できますか?サーバーにこのファイルを配置する必要がない回避策を知っていますか?
ありがとうダミアン
crossdomain.xmlを追加することにより、主なセキュリティ上の懸念は、フラッシュアプリケーションがサーバーに接続できるようになることです。したがって、誰かがあなたのサイトにログインし、悪意のあるフラッシュアプリを使用して別のWebサイトを閲覧した場合、そのフラッシュアプリはあなたのサイトに接続し直すことができます。ブラウザにあるため、Cookieはフラッシュアプリと共有されます。これにより、フラッシュアプリはユーザーのセッションを乗っ取って、ユーザーが知らないうちにWebサイトが行うことをすべて実行できるようになります。
フレックスアプリが同じサーバーから提供される場合、crossdomain.xmlは必要ありません
サイトのサブディレクトリに配置して、System.security.loadSecurityPolicy()を使用できます。
http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html
その場合、アプリケーションはディレクトリ構造のそのツリーに制限されます。
クロスドメイン ファイルの回避策はありません。クロスドメイン データ アクセスまたはクロスドメイン スクリプトをサポートする必要があります。クロスドメイン リクエストが発生した場合、Flash はドメインのルートで crossdomain.xml ファイルを探します。たとえば、次の場所から XML ファイルを要求している場合:
http://mysubdomain.mydomain.com/fu/bar/
Flash は、crossdomain.xml ファイルが次の場所に存在するかどうかを確認します。
http://mysubdomin.mydomain.com/crossdomain.xml
crossdomain.xml ファイルは別の場所に配置できます。ただし、別の場所から crossdomain.xml ファイルをロードする必要がある場合は、Security.loadPolicyFileを介して実行する必要があります。このクロスドメインの場所は、セキュリティ アクセスに影響を与えることに注意してください。Flash は、クロスドメインとその子フォルダーを含むフォルダーへのアクセスのみを許可します。
また、Flash Player 10 でのセキュリティの変更についてもお読みください。
アプリケーションの仮想ホストを構成できます。このようにして、ファイルcrossdomain.xmlをアプリケーションのルートに置くことができますが、必ずしもサーバーのルートにあるとは限りません。
はい。クロスドメイン ポリシー ファイルには十分注意してください:
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
私の 2 つの一般的な経験則は次のとおりです。
crossdomain.xml は、Flash ランタイムにとって意味のある単なるファイルです。HTTP リクエストがそれを見るために取得するものを制限できます。Webサーバー(Apacheなど)の構成制御を使用して、「ルート」ディレクトリからの読み取りアクセス(およびそれのみ)を許可できます(以前の回答を参照)。
リクエストなどで他のヘッダーでフィルタリングする場合があります。
乾杯