アプリケーションサーバーのルートにcrossdomain.xmlを追加することで、セキュリティ上の懸念があるのではないかと思いました。サーバーの他の部分に追加できますか?サーバーにこのファイルを配置する必要がない回避策を知っていますか?
ありがとうダミアン
Damo
質問する
26636 次
5 に答える
10
crossdomain.xmlを追加することにより、主なセキュリティ上の懸念は、フラッシュアプリケーションがサーバーに接続できるようになることです。したがって、誰かがあなたのサイトにログインし、悪意のあるフラッシュアプリを使用して別のWebサイトを閲覧した場合、そのフラッシュアプリはあなたのサイトに接続し直すことができます。ブラウザにあるため、Cookieはフラッシュアプリと共有されます。これにより、フラッシュアプリはユーザーのセッションを乗っ取って、ユーザーが知らないうちにWebサイトが行うことをすべて実行できるようになります。
フレックスアプリが同じサーバーから提供される場合、crossdomain.xmlは必要ありません
サイトのサブディレクトリに配置して、System.security.loadSecurityPolicy()を使用できます。
http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html
その場合、アプリケーションはディレクトリ構造のそのツリーに制限されます。
于 2008-09-19T12:46:36.510 に答える
1
クロスドメイン ファイルの回避策はありません。クロスドメイン データ アクセスまたはクロスドメイン スクリプトをサポートする必要があります。クロスドメイン リクエストが発生した場合、Flash はドメインのルートで crossdomain.xml ファイルを探します。たとえば、次の場所から XML ファイルを要求している場合:
http://mysubdomain.mydomain.com/fu/bar/
Flash は、crossdomain.xml ファイルが次の場所に存在するかどうかを確認します。
http://mysubdomin.mydomain.com/crossdomain.xml
crossdomain.xml ファイルは別の場所に配置できます。ただし、別の場所から crossdomain.xml ファイルをロードする必要がある場合は、Security.loadPolicyFileを介して実行する必要があります。このクロスドメインの場所は、セキュリティ アクセスに影響を与えることに注意してください。Flash は、クロスドメインとその子フォルダーを含むフォルダーへのアクセスのみを許可します。
また、Flash Player 10 でのセキュリティの変更についてもお読みください。
于 2008-10-20T06:32:17.937 に答える
0
アプリケーションの仮想ホストを構成できます。このようにして、ファイルcrossdomain.xmlをアプリケーションのルートに置くことができますが、必ずしもサーバーのルートにあるとは限りません。
于 2008-09-19T12:46:47.320 に答える
0
はい。クロスドメイン ポリシー ファイルには十分注意してください:
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
私の 2 つの一般的な経験則は次のとおりです。
- Cookie を使用するサーバーにクロスドメイン ポリシー ファイルを配置しないでください
- クロスドメイン ポリシー ファイルを内部サーバーに置かないでください
于 2010-06-23T12:39:57.503 に答える
-1
crossdomain.xml は、Flash ランタイムにとって意味のある単なるファイルです。HTTP リクエストがそれを見るために取得するものを制限できます。Webサーバー(Apacheなど)の構成制御を使用して、「ルート」ディレクトリからの読み取りアクセス(およびそれのみ)を許可できます(以前の回答を参照)。
リクエストなどで他のヘッダーでフィルタリングする場合があります。
乾杯
于 2008-10-19T19:03:10.043 に答える