Flash安全的一些总结WEB安全电脑资料.pdfVIP

Flash 安全的一些总结 WEB安全电脑资料 了下 Flash 安全相关的知识，后面会再完善 一、先来说 crossdomain.xml 这个文件 flash 如何跨域通信，全靠 crossdomain.xml 这个文件， 比如下面的列子： 1 、.a. 域下不存在 crossdomain.xml 文件，则不允许除了 .a. 域之 外的其他任何域下的 flash 进行跨域请求。 2 、.a. 域下存在 crossdomain.xml 文件，如若配置 allow-aess-from 为.b. ，则只允许 .b. 域下的 flash 进行跨域请求， 以及自身域 .a. 的网络请求。 crossdomain.xml 需严格遵守 XML语法，有且仅有一个根节点 cross-domain-policy ，且不包含任何属性。在此根节点下只能包含 如下的子节点： site-control allow-aess-from allow-aess-from-identity allow--request-headers-from site-control 早期的 flash 允许从其他位置载入自定义的策略文件，目前最新 版的 flash 在接受自定义的策略文件之前会去检查主目录的 crossdomain.xml 来判断是否接受自定义策略文件。该选项就由 site-control 进行控制。 不加该选项时，默认情况下 flash 不加载除主策略文件之外的其 他策略文件，即只接受根目录下的 crossdomain.xml ，这样可以防止 利用上传自定 义策略文件进行的攻击。 如果需要启用其他策略文件， 则需要配置 permitted-cross-domain-policies 属性，该属性有以下 五个 值： none: 不允许使用 loadPolicyFile 方法加载任何策略文 件，包括此主策略文件。 master-only: 只允许使用主策略文件 [ 默认值 ] 。 by-content-type: 只允许使用 loadPolicyFile 方法加载 /S 协议 下 Content-Type 为 text/x-cross-domain-policy 的文件作为跨域策 略文件。 by-ftp-filename: 只允许使用 loadPolicyFile 方法加载 FTP协议 下文件名为 crossdomain.xml 的文件作为跨域策略文件。 all: 可使用 loadPolicyFile 方法加载目标域上的任何文件作为 跨域策略文件，甚至是一个 JPG也可被加载为策略文件！ 例子： 允许通过 /S 协议加载头中 Content-Type 为 text/x-cross-domain-policy 的文件作为策略文件 允许加载任意文件作为策略文件 allow-aess-from 该选项用来限制哪些域有权限进行跨域请求数据。 allow-aess-from 有三个属性 domain ：有效的值为 IP 、域名，子域名代表不同的域，通配符 * 单独使用代表所有域。通配符作为前缀和域名进行组合代表多个域， 比如*.weibo., 代表 weibo. 所有的子域。 to-ports ：该属性值表明允许访问读取本域内容的 socket 连接端 口范围。可使用 to-ports=1100,1120-1