Flex和crossdomain.xml

我想知道将crossdomain.xml添加到应用程序服务器的根目录是否存在任何安全问题？是否可以将其添加到服务器的任何其他部分,并且您是否知道任何不需要服务器具有此文件的解决方法？

谢谢Damien

1> Marc Hughes..：

---

通过添加crossdomain.xml,主要的安全问题是Flash应用程序现在可以连接到您的服务器.因此,如果有人登录您的网站,然后浏览到另一个带有恶意Flash应用程序的网站,该Flash应用程序可以连接回您的网站.由于它位于浏览器中,因此cookie将与Flash应用程序共享.这允许Flash应用程序劫持用户的会话,以便在用户不知情的情况下执行您的网站所做的任何事情.

如果您的Flex应用程序是从同一服务器提供的,则不需要crossdomain.xml

您可以将它放在站点的子目录中并使用System.security.loadSecurityPolicy()

http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html

然后,应用程序将仅限于目录结构的树.

---

Skippy - 让我们说BANK.COM有一个页面可以让你在账户之间转账.假设它有一个打开的crossdomain.xml文件.现在,让我们说用户BOB像往常一样登录BANK.COM.接下来,BOB离开BANK.COM并前往EVIL.COM.在EVIL.COM上是一个恶意的Flash应用程序.该应用程序可以向BANK.COM提出请求.该请求将来自浏览器,就像任何其他请求一样.这意味着该应用程序可以默默地点击该转移页面.BANK.COM会看到用户已经登录,因为该请求来自已经过正确身份验证的浏览器,并且很乐意允许它继续.