我很难弄清楚为什么 crossdomain.xml 是一个有用的功能。对我来说,它似乎又回到了前面。为什么要限制 Flash(默认)从公开可用的服务中读取?
防止人们下载恶意闪存软件的 DDOS 攻击有什么意义。
它似乎并不能保护所有第三方网站上的 Flash 用户,尤其是可以通过代理绕过它,这似乎使整个事情变得毫无意义。
问问题
594 次
3 回答
2
Flash 文件在受信任环境中的用户计算机上执行。如果没有跨域文件,swf 可以猜测用户可以访问但 SWF 不应该访问的内部服务,即防火墙后面的任何内容。这是一个重大的安全风险。尽管该政策还有其他原因,但这是迄今为止最重要的原因。所以你是对的,它需要访问公共 api 很烦人,但它比访问私有 api 更好,想象一下公司目录服务,只是因为内容在你的机器上运行。
于 2010-11-28T19:09:25.863 回答
2
跨域策略文件可以暴露来自内部服务器和需要身份验证的服务器的受保护数据。更多详情:
http ://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
于 2010-11-28T19:45:38.447 回答
-1
我只是想到了这个。老实说,当我开始问这个问题时,我并没有想到它。
可能是为了保护 Flash 文件的开发者。假设有人没有技术知识如何反编译闪存文件,以及硬编码的数据请求。提升公共网络服务器的闪存文件并放置在您自己的网络服务器上有效地使该闪存无效。
如果是这种情况,闪存文件发出的所有请求都应使用完全限定的请求。即不是相对请求。
不知道他们是不是这么想的。
于 2010-11-28T19:27:12.207 回答