我在理解为什么crossdomain.xml是一个有用的功能方面遇到了困难。它对我来说似乎是颠倒的。为什么默认情况下要限制Flash从公共可用服务中读取呢?
防止DDOS攻击,防止人们下载恶意Flash软件。
它似乎并没有保护Flash用户,只保护第三方网站,特别是因为这可以通过代理来规避,似乎使整个事情毫无意义。
防止DDOS攻击,防止人们下载恶意Flash软件。
它似乎并没有保护Flash用户,只保护第三方网站,特别是因为这可以通过代理来规避,似乎使整个事情毫无意义。
3个回答
2
Flash文件在用户机器上执行,处于信任环境中。如果没有跨域文件,swf文件可能会猜测用户可以访问但不应该访问的防火墙后面的内部服务。这是一个重大的安全风险。尽管有其他原因需要遵守该策略,但这绝对是最重要的原因。所以你是正确的,需要访问公共API很麻烦,但这比访问私有API好得多,想象一下企业目录服务,只是因为内容在你的机器上运行。
- Greg
3
你的意思是,如果我理解正确,问题出在Flash文件尝试从localhost检索某些内容时,假设用户在localhost(127.0.0.x)上有一个HTTP服务器。对我来说,这似乎是非常少见的用例。 - Wes
你的计算机可以访问的不仅是本地主机。想象一下,你身处一家拥有员工目录等信息的公司的防火墙后面。 - Greg
当然可以。您能否编辑您的答案,以更清晰地包含该信息?我会接受它。 - Wes
2
跨域策略文件可能会暴露来自内部服务器和需要身份验证的服务器的受保护数据。更多细节:
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
- James Ward
1
James在你的网站上写得很好。然而,我认为你和Greg的答案是等价的,而他显然是第一个回答的。所以我会接受他的答案。抱歉。 - Wes
-1
我刚想到这个。老实说,当我开始提问时,这不在我的脑海中。
这可能是为了保护Flash文件的开发者。假设有人没有技术知识来反编译Flash文件,并且它的数据请求是硬编码的。将该Flash文件从公共Web服务器上取下并放置在自己的Web服务器上,会使该Flash无效。
如果是这种情况,所有由Flash文件发出的请求都应使用完全限定的请求。即不使用相对请求。
不知道他们是否考虑过这一点。
- Wes
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接