Flex调ArcGISServer安全沙箱冲突

Flash 安全沙箱冲突 之解决

2011年10月27日 星期四 10:20

问题

客户端出现“安全沙箱冲突”

解决方法

服务器端添加 crossdomain.xml 文件

crossdomain.xml

flash在跨域时唯一的限制策略就是crossdomain.xml文件，该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据。

位于www.a.com域中的SWF文件要访问www.b.com的文件时，SWF首先会检查www.b.com服务器目录下是否有crossdomain.xml文件，如果没有，则访问不成功；若crossdomain.xml文件存在，且里边设置了允许www.a.com域访问，那么通信正常。所以要使Flash可以跨域传输数据，其关键就是crossdomain.xml。

不正确的crossdomain.xml策略将导致严重的安全问题，如信息泄露、CSRF等。在进行安全评估时，我们应重点关注以下几点：

1）allow-access-from标签的domain属性检测：domain属性应根据最小化原则按需设置，仅允许可信任的来源跨域请求本域内容。禁止将该属性值设置为“*”。

2）allow-http-request-headers-from标签的domain属性检测：domain属性应根据最小化原则按需设置，仅允许可信任的来源向本域跨域发送内容。禁止将该属性值设置为“*”。

3） site-control标签的permitted-cross-domain-policies属性检测：根据业务的实际需求及可行性，对该属性做相应设置。禁止将该属性值设置为“all”。

参考资料

http://hi.baidu.com/%B4%F3%CE%B0/blog/item/a06c79f4f013f2c5f3d38520.html