Междоменные запросы: Javascript против Flash

Question

Как вы, возможно, знаете, модель безопасности браузера не позволяет скрипту, загруженному на страницу из http://www.example.com, выполнять междоменные запросы (никаких вызовов AJAX в любой другой домен, кроме www.example.com). Сам файл Javascript, возможно, обслуживался из другого домена (www.javascript.com/myscript.js), и это не имеет значения. Это политика одного и того же происхождения.

у Flash тоже есть что-то похожее? Но обрабатывает ли Flash источник как HTML-страницу, где файл .swf был загружен , или источником является домен, который обслуживал файл .swf?

То есть http://www.example.com загружает файл .swf из http://www.swf.com/myflash.swf.. Теперь .swf может загружать ресурсы только с www.example.com или только с www.swf.com? Я предполагаю, что не существует ни одного файла кросс-домен.xml ни на example.com, ни на swf.com.

Answer 1

Я думаю, эта статья многое объясняет о проблеме, которую вы упоминаете: http://www.foregroundsecurity.com/MyBlog/flash-origin-policy-issues.html

Оттуда:

Для владельцев сайтов, все пользовательские содержание должно быть подано с совершенно отдельный домен. Это уже реализовано почтой Yahoo, Hotmail, Wikipedia и многие другие крупные сайты, но огромное разнообразие автономные веб-приложения не сделайте это (и если я могу, например, загрузить вредоносный файл в "apiwiki.twiitter.com", я могу выполнить кросс-поддоменовые cookie-атаки). частичное решение стало возможным благодаря Flash 10,0,0,2: SWF-файлы обслуживаются с «Контент-расположение: вложение» заголовок не будет выполняться при внедрении на веб-странице. Если все пользовательские контент подается с этим заголовком (не плохая идея в любом случае), это может ограничить вашу экспозицию, но это не очень надежное решение.

Похоже, что если вы обслуживаете контент из другого домена и нет файлов междоменной политики, то flash не может получить доступ к файлам с вашего основного сервера.

Также в этой статье: http://supergeekery.com/index.php/geekblog/2009/12 говорится, что

И все, что я пишу, должно быть в состоянии доверять друг другу и делиться с друг с другом. Вы можете удивиться, если Flash Реклама это проблема. Есть ли у них это проблема? Нет, есть флеш реклама все через интернет, но так как они почти никогда не размещается на одном сервере в качестве домена, который вы посещаете, они не получить доступ к данным в Интернете Данные первичного кода сайта . Круто.