Flex и crossdomain.xml

Question

Мне было интересно, есть ли проблемы с безопасностью при добавлении crossdomain.xml в корень сервера приложений? Может ли он быть добавлен к любым другим частям сервера, и вам известны какие-либо обходные пути, для которых серверу не нужен этот файл?

Спасибо Дэмиен

Answer 1

При добавлении crossdomain.xml главная проблема безопасности заключается в том, что приложения флэш-памяти теперь могут подключаться к вашему серверу. Так что, если кто-то заходит на ваш сайт, а затем переходит на другой сайт с вредоносным флэш-приложением, это флэш-приложение может подключиться к вашему сайту. Так как он находится в браузере, файлы cookie передаются во флэш-приложение. Это позволяет флэш-приложению перехватывать сеанс пользователя и делать то, что делает ваш веб-сайт, без уведомления пользователя.

Если ваше flex-приложение обслуживается с того же сервера, вам не нужен crossdomain.xml

Вы можете поместить его в подкаталог вашего сайта и использовать System.security.loadSecurityPolicy ()

http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html

Приложения будут ограничены этим деревом вашей структуры каталогов.

Answer 2

Обходного пути для файла междомена нет, он необходим для поддержки доступа к данным междомена или сценариев междомена. В случае любого междоменного запроса Flash выполнит поиск файла crossdomain.xml в корне домена. Например, если вы запрашиваете XML-файл из:

http://mysubdomain.mydomain.com/fu/bar/

Flash проверит, существует ли файл crossdomain.xml по адресу:

http://mysubdomin.mydomain.com/crossdomain.xml

Вы можете поместить файл crossdomain.xml в другое место. Однако, когда вам когда-либо понадобится загрузить файл crossdomain.xml из другого места, вы должны сделать это через Security.loadPolicyFile . Имейте в виду, что расположение этого междомена оказывает какое-либо влияние на безопасный доступ, который у вас есть. Flash предоставит доступ только к папке, содержащей междоменный домен и его дочерние папки.

Возможно, вы захотите ознакомиться с изменениями безопасности во Flash Player 10 .

Answer 3

Да. Будьте очень осторожны с файлами междоменных политик:
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/

Мои два основных правила:

• Не помещайте файл политики междоменного на сервер, который использует куки
• Не размещать файл политики междоменного на внутреннем сервере

Answer 4

crossdomain.xml - это просто файл, который имеет значение для среды выполнения Flash; Вы можете ограничить, какие HTTP-запросы могут видеть. Вы можете использовать контроль конфигурации веб-сервера (например, Apache), чтобы разрешить доступ на чтение (и только к нему) из корневого каталога (см. Предыдущие ответы).

Вы можете фильтровать другие заголовки в запросе и т. Д.

Приветствия

Answer 5

Вы можете настроить виртуальный хост для своего приложения. Таким образом, файл crossdomain.xml может находиться в корне приложения, но не обязательно в корне сервера.