理解Flash Player安全机制（一）

对Flash Player的安全机制，一直是处于比较懵懂的状态，到了需要时才去了解，了解时不是很懂，没有系统的学习过，现在深入地学习下《ActionScript 3.0 开发人员指南 – 安全性》。将陆续写出自己的理解。AIR相关的以后再学习。

1. 用户授权和交互。硬件加速、存储、摄像头、麦克风等，需要用户授权才能使用。全屏、打开文件浏览框等，需要用户交互如鼠标键盘操作才能使用。用户必须完全知情。

2. 远程和本地之分。文件根据来源分远程和本地两大类，如地址是http开头和file开头。远程不能访问本地，本地可以选择只访问远程或只访问本地，或设置信任后远程和本地都能访问。这样可保护用户电脑信息在不知情时外泄。

3. 不同来源的访问要有授权。按来源如网站域名把文件分为不同的域，放到不同的沙箱里。同域的当然可以互相访问。不同域的，网站可以通过策略文件授权，swf作者可以通过代码Security.allowDomain()授权。这样可保护资源，在自己授权的情况下才能被人访问。

4. 内容加载的特殊性。通常，不同来源的访问需要授权，但内容，也叫媒体，程序如果只传达不私用，如只addChild(loader)，不获取content，则不同域也可加载，除了远程本地限制和RTMP服务器限制。如要私用，即从中提取数据，如获取content等，则和通常一样，不同域访问需要授权。这样可以大大增加媒体的来源，如我可以直接在自己网站上Flash应用里显示外部网站相册里的照片。

陆仕桑 20120107-17:37 发表于http://saullu.com/?p=778