Flash 跨域访问安全策略（转）

转:http://www.ydjps.sc.cn/windson/myblog/article.asp?id=33

        相关学习源文件:点击下载此文件

       了解和认识Flash Player 8 的安全问题,对于程序开始,动画设计和网站管理人员来说都是必要的.目前Flash Player 8 相关的安全API是放在System类下的.

System下的所有方法：

IME

setClipboard

security

exactSettings

showSettings

Product

Capabilities

System.exactSettings

是否是精确域匹配，player 6以前都是超域匹配，player7以后为精确匹配 赋值类型为Boolean，可写属性。

 

System.security

Flash player 8,0,22,0中目前能看见的System.security的方法有：

loadPolicyFile：加载xml策略文件

（策略文件的定义：

<cross-domain-policy>

<allow-access-from domain="*" to-ports="507" /> <allow-access-from domain="*.foo.com" to-ports="507,516" /> <allow-access-from domain="*.bar.com" to-ports="516-523" /> <allow-access-from domain="www.foo.com" to-ports="507,516-523" /> <allow-access-from domain="www.bar.com" to-ports="*" /> </cross-domain-policy>

）

（备注：如果由

loadPolicyFile()

指定的任何策略文件都未对请求进行授权，则 Flash Player 会查询原始的默认位置 /crossdomain.xml，这是最终的后备操作。）

allowInsecureDomain：允许多个swf文件多种协议交流（http和https）

allowDomain：允许多个swf文件通过http协议跨域交流

Flash player 8,0,22,0中目前隐藏的System.security的方法有：

sandboxType：安全沙盒类型

escapeDomain

chooseLocalSwfPath

System.security.sandboxType的属性值包括：（目前是只读属性）

Remote：swf文件来自远程

localWithFile：swf文件来自本地，能读取本地数据，但不能访问网络

localWithNetwork：swf文件来自本地，能读网络数据，但不能访问本地数据

localTrusted：即能访问网络也能访问本地。

在Flash8调试环境中System.security.sandboxType的值为localTrusted

在本地外部使用播放器打开System.security.sandboxType的值为localWithFile

 

SWF file loading APIs

MovieClip.loadMovie

MovieClip.loadMovieNum

MovieClipLoader.load

安全检测：

1、    如果加载影片的文件安全沙盒为loca-with-filesystem而被加载的文件来自网络或是local-with-networking 安全沙盒，则Loading将加载失败。

地，则Loading将失败。

 

Data loading

LoadVars.load()

LoadVars. sendAndLoad()

XML.load()

XML.sendAndLoad()

安全检测：

如果加载影片的文件安全沙盒为loca-with-filesystem而被加载的文件来自网络或是local-with-networking 安全沙盒，则Loading将加载失败。

许可机制：

Policy File—The default is to deny access between sandboxes. The website can enable access to a resource by adding a policy file.

XMLSocket. connect()

安全检测：

1、  如果文件处于local-with-file安全沙盒则不允许连接

2、  如果访问的端口低于1024则不允许连接

许可机制：

Policy File—The default is to deny access between sandboxes. The website can enable access to a resource by adding a policy file with the XMLSocket protocol. The author can invoke loadPolicyFile(). NetConnection. connect()（(AMF Remoting only)

安全检测： 如果文件处于local-with-file安全沙盒则不允许连接

许可机制：

Policy File—The default is to deny access between sandboxes. The website can enable access to a resource by adding a policy file. NetConnection. connect()(Flash Communication Server RTMP only)

安全检测：

如果文件处于local-with-file安全沙盒而被访问的资源再非local安全沙盒则不允许连接

许可机制：

Server-side ActionScript—The default is to allow access. The website can deny access to a resource by adding server-side ActionScript application logic in Flash Communication Server.

NetStream.play() / Sound.load()

安全检测：

如果文件处于local-with-file安全沙盒则不允许连接

许可机制： 1、Policy File—Network sandbox access from local trusted or local-with-networking sandbox requires permission from website

2、Default for other cross-domain requests is to allow access.

FileReference. upload() FileReference. download()

安全检测：

如果调用的文件是不受信任的本地文件则不允许访问

许可机制：

Policy File—The default is to deny access between sandboxes. A website can enable access to a resource by adding a policy file.