问题标签 [crossdomain.xml]

在我的弹性应用程序中：

当我运行我的应用程序时，我发现了这个错误：

请帮帮我。

第一个背景 - 你看，我没有尝试任何恶意：我在俄罗斯社交网络 vkontakte.ru 中有一个显示用户头像的 Flash 应用程序。到目前为止，我的 .swf 文件一直托管在他们的域中，因此获取和缩放头像效果很好。

现在我想将我的应用程序切换到 iframe 类型，以便 .swf 将托管在我的域中，因此我无法再缩放我的 .swf 中的头像：既不是我的域，也不是“* " 在http://vkontakte.ru/crossdomain.xml中列出，因此 .swf 可以下载和显示头像，但不能再缩放它们（访问 myLoader.content 会引发 SecurityError）。

我决定用 PHP 编写一个代理脚本，它将获取脚本?img=参数中指定的图像，然后将其传递给标准输出（经过一些检查并且不存储任何内容）：

我的问题是 $mime 标头从未打印（或打印太晚？）。

例如，当我直接获取我的头像时： http: //cs971.vkontakte.ru/u59751265/a_7567890a.jpg 然后我看到Content-Type: image/jpeg标头被发送到浏览器。

但是当我通过代理脚本获取它时，我看不到那个标题。

也许我应该更好地使用不同的函数而不是 fopen()？我不是很精通PHP。我还担心 fopen() 是否会被骗从我的 Web 服务器提供本地文件。

作为一个额外的问题：我担心我的 .swf 将不是唯一调用我的 proxy.php 的应用程序，但我想不出保护它的好方法（也许没有这样的方法） - 我可以不要在我的 .swf 和 .php 中存储秘密 - 因为 .swf 可以反汇编。

谢谢你，亚历克斯

我在AS3中开发了一个播放器。如果我提供网站的 IP，它就可以工作。但是，当我提供完整的域名时，它不起作用。甚至，我为全局访问提供了 crossdomain.xml。

请建议。

我已经将我的 flex 应用程序的协议从 https 更改为 http，并且 flashplayer 仍然希望使用 https 下载 crossdomain.xml，尽管端口为 http。该应用程序在http://domain01:8080/flex访问，它想要获取 https:..samedomain..:8080/crossdomain.xml （在 https:..samedomain..no_port/flex 它工作正常）。

有人知道为什么吗？

非常感谢，

丹尼尔

我已经更新了我的站点的 crossdomain.xml 安全设置 - 但似乎旧版本正在缓存在 IE 和 Chrome 中。

我检查了服务器发送的标头，它没有发送任何会强制浏览器缓存 crossdomain.xml 的缓存控制标头。

为了解决这个问题，我还在网站的 iframe 中链接到我的 crossdomain.xml 文件。不过这并没有奏效，而且 Flash 似乎仍在使用旧的安全设置。

有没有人遇到过这个？你是如何解决这个问题的？

如何在本地主机上加载执行的 swf 时禁用 crossdomain.xml 检查？

我想将完全信任分配给本地运行的 HTML5 Web 应用程序。我想禁用任何跨域检查。

为什么？一些外部服务器不为其托管的 SWF 文件提供 crossdomain.xml。我在本地运行。我希望完全信任调试目的。

我怎么做？

我不会考虑 AIR，因为它不能在 HTML5 应用程序中使用。

将 URL“ http://localhost:2541/xxx.swf ”添加到“C:\Users\Arvo\AppData\Roaming\Macromedia\Flash Player#Security\FlashPlayerTrust\u.cfg”没有帮助。

参考：

1. http://www.abdulqabiz.com/blog/archives/2007/03/20/flash-player-trust-flashplayertrust-on-gnulinux/

2. 从 file:/// 运行 SWF，无需用户更改其 Flash Player 安全设置

编辑：我在原始帖子中混合了 a.com 和 b.com，我会尝试正确地改写内容：

• 从 a.com 加载 HTML 页面
• HTML 嵌入了来自 b.com 的 Flash 客户端
• HTML 包含一个与 a.com 建立连接的 Javascript 函数，即 HTML 的来源，而不是 Flash 的来源
• Flash 调用该 Javascript 函数

问题：我需要在 a.com 中有一个 crossdomain.xml 吗？

如果位于http://example.com/test.swf的 swf 向https://secure.com/webservice.xml发出请求，会发生什么？Adobe 关于跨域策略文件的文档记录了“安全”属性。

安全：[仅限 HTTPS 和套接字，可选] 指定是仅授予来自指定来源的 HTTPS 文档 (true) 还是授予来自指定来源的所有文档 (false) 的访问权限。如果 HTTPS 策略文件中未指定安全，则默认为 true。不建议在 HTTPS 策略文件中使用 false，因为这会损害 HTTPS 提供的安全性；例如，允许中间人攻击访问受策略文件保护的 HTTPS 数据。

这是否意味着 Flash 播放器实际上会发出 HTTP 请求，而不是 HTTPS？是否存在对来自非安全域的 .swf 文件的信任度较低的假设？如果 Flash 播放器发出正确的 SSL 请求，我看不出额外的中间人漏洞来自何处。如果没有，我不得不认为 Web 服务器可能会被配置为拒绝它。

全部，

我正在尝试从自定义位置（而不是根目录）加载跨域策略文件。

具体来说，我试图调用的 Web 服务的开发人员在他的服务器上安装了一个跨域策略文件：

http://[web_service_domain]/[some_subdirectory]/crossdomain.xml

所以，在我的 SWF 中，我称之为：

但是，当我在 Flash IDE 中运行该 SWF 测试时，我收到此错误：

打开 URL 'http://[web_service_domain]/crossdomain.xml' 时出错

换句话说，loadPolicyFile 命令忽略了 [some_subdirectory]，并试图从根目录加载策略文件。

当然，它不存在，因此无法加载。（如果开发人员可以将文件安装在根目录下，我就不会有这个问题，所以我一开始就不会使用 System.security.loadPolicyFile）。

不仅仅是在 IDE 中——当我在 Firefox 中使用 Firebug 测试应用程序时，我可以看到 SWF 正在尝试从“http://[web_service_domain]/crossdomain.xml”加载策略文件。

我已经剥离了 SWF，因此它除了尝试从子目录加载策略文件之外什么都不做，但它仍然失败。所以，我认为这与我的特定应用程序的任何特质无关。

底线 - System.security.loadPolicyFile 工作吗？我还需要与该调用一起做些什么才能使其正常工作吗？或者，我做错了什么？

非常感谢您提供任何建议/见解。

我有两部 Flash 电影fl_base和fl_top. fl_base包含从服务器提取字符串变量并将其解析出来以确定站点的导航菜单的 ActionScript（标题、子标题以及指向每个导航项应指向的链接，如下图所示）。

fl_base determines the order of the menus and submenus as well as the links

fl_top包含导航的图形资产（按钮、背景等），并绘制实际的 UI。

如果前面提到的字符串变量是从不同的域中提取的，我遇到了一个链接（getURL）将不起作用的问题。因此，如果fl_base并且fl_top驻留在example.com并且变量是从test.example.com中提取的，那么fl_top在显示 UI（菜单、按钮、颜色）时将不允许用户单击链接。我应该注意到getURL位于fl_top电影中。

我们有一个crossdomain.xml允许 Flash 电影之间的跨域访问。

谁能告诉我为什么这不起作用，如果有解决方案，除了重写 Flash 电影（上级已决定禁止）

更新

我还应该提到我正在使用 SWFObject 2.2 来加载fl_base，它fl_top是通过loadMoviefrom调用的fl_base