我在理解为什么crossdomain.xml是一个有用的功能方面遇到了困难。它对我来说似乎是颠倒的。为什么默认情况下要限制Flash从公共可用服务中读取呢?
防止DDOS攻击,防止人们下载恶意Flash软件。
它似乎并没有保护Flash用户,只保护第三方网站,特别是因为这可以通过代理来规避,似乎使整个事情毫无意义。
防止DDOS攻击,防止人们下载恶意Flash软件。
它似乎并没有保护Flash用户,只保护第三方网站,特别是因为这可以通过代理来规避,似乎使整个事情毫无意义。
Flash文件在用户机器上执行,处于信任环境中。如果没有跨域文件,swf文件可能会猜测用户可以访问但不应该访问的防火墙后面的内部服务。这是一个重大的安全风险。尽管有其他原因需要遵守该策略,但这绝对是最重要的原因。所以你是正确的,需要访问公共API很麻烦,但这比访问私有API好得多,想象一下企业目录服务,只是因为内容在你的机器上运行。
我刚想到这个。老实说,当我开始提问时,这不在我的脑海中。
这可能是为了保护Flash文件的开发者。假设有人没有技术知识来反编译Flash文件,并且它的数据请求是硬编码的。将该Flash文件从公共Web服务器上取下并放置在自己的Web服务器上,会使该Flash无效。
如果是这种情况,所有由Flash文件发出的请求都应使用完全限定的请求。即不使用相对请求。
不知道他们是否考虑过这一点。