0

如果位于http://example.com/test.swf的 swf 向https://secure.com/webservice.xml发出请求,会发生什么?Adobe 关于跨域策略文件的文档记录了“安全”属性。

安全:[仅限 HTTPS 和套接字,可选] 指定是仅授予来自指定来源的 HTTPS 文档 (true) 还是授予来自指定来源的所有文档 (false) 的访问权限。如果 HTTPS 策略文件中未指定安全,则默认为 true。不建议在 HTTPS 策略文件中使用 false,因为这会损害 HTTPS 提供的安全性;例如,允许中间人攻击访问受策略文件保护的 HTTPS 数据。

这是否意味着 Flash 播放器实际上会发出 HTTP 请求,而不是 HTTPS?是否存在对来自非安全域的 .swf 文件的信任度较低的假设?如果 Flash 播放器发出正确的 SSL 请求,我看不出额外的中间人漏洞来自何处。如果没有,我不得不认为 Web 服务器可能会被配置为拒绝它。

4

1 回答 1

1

没有。如果您将属性设置securefalseFlash 应用程序将不会发出http请求。它会https请求通过https. 但主要思想是,该属性设置为false允许 Flash 与其他http资源建立连接。“中间人”攻击可能在这一刻进行。想象一下情况。您的 Flash 应用程序从 加载一些文档https,并在某个 Web 服务器上处理它们,使用它的 api,但通过http非安全连接。从中加载的数据https将由 Flash 通过简单的http. 如果您将secure属性设置true为此将告诉 Flash 来自https需要安全性的文档。Flash 并不简单http不再是那个时候的请求,因为来自https程序算法的数据可能被插入到这个不安全的请求中。

于 2011-03-06T14:45:49.407 回答