79
我一直在閱讀Adobe在Flash 9-10中使crossdomain.xml更嚴格,我想知道有人可以粘貼他們知道的作品的副本。在Adobe網站上找到最近的示例時遇到一些問題。有人可以發佈一個格式良好的crossdomain.xml樣本?
A
回答
100
這是我一直在使用什麼開發:
<?xml version="1.0" ?>
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>
這是一個非常寬鬆的辦法,但罰款我的應用程序。
正如其他人指出的那樣,要小心這種風險。
+6
對於「非常自由的方法,但對測試來說很好」 – jcolebrand 2010-11-05 14:43:00
+28
這在某種意義上是有效的,但請注意這些風險:這意味着*任何*網站都可以代表用戶,cookie和所有內容向您的網站發送請求,並且無任何問題地閱讀回覆。對於大多數Web應用程序來說,這是一個巨大的安全漏洞所以,儘管這種方法有其作用,但請您瞭解風險並在必要時採取嚴格的白名單方法(幾乎總是針對生產應用程序)。 – Matchu 2011-08-19 23:38:01
35
如果您使用的是webservices,您還需要'allow-http-request-headers-from'元素。這是我們的默認開發「允許一切」政策。
<?xml version="1.0" ?>
<cross-domain-policy>
<site-control permitted-cross-domain-policies="master-only"/>
<allow-access-from domain="*"/>
<allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>
29
看看Twitter的:
http://twitter.com/crossdomain.xml
<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://www.adobe.com/xml/schemas/PolicyFile.xsd">
<allow-access-from domain="twitter.com" />
<allow-access-from domain="api.twitter.com" />
<allow-access-from domain="search.twitter.com" />
<allow-access-from domain="static.twitter.com" />
<site-control permitted-cross-domain-policies="master-only"/>
<allow-http-request-headers-from domain="*.twitter.com" headers="*" secure="true"/>
</cross-domain-policy>
9
在生產現場,這似乎適合:
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="www.mysite.com" />
<allow-access-from domain="mysite.com" />
</cross-domain-policy>
5
使用的crossdomain.xml的一個版本是與一起打包這是多年迭代開發和組合社區知識的產物。但是,它已從存儲庫中刪除。我在這裏逐字拷貝了它,並在下面刪除了一個鏈接。
<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<!-- Read this: https://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html -->
<!-- Most restrictive policy: -->
<site-control permitted-cross-domain-policies="none"/>
<!-- Least restrictive policy: -->
<!--
<site-control permitted-cross-domain-policies="all"/>
<allow-access-from domain="*" to-ports="*" secure="false"/>
<allow-http-request-headers-from domain="*" headers="*" secure="false"/>
-->
</cross-domain-policy>
刪除了#1881
https://github.com/h5bp/html5-boilerplate/commit/58a2ba81d250301e7b5e3da28ae4c1b42d91b2c2
相關問題
- 1. 有人可以提出IMS的良好學習來源嗎?
- 2. 格式良好的HTTP請求是否可以包含「NULL」?
- 3. 有人可以給我一個PK插入樣本嗎?
- 4. 編譯良好,但有問題發佈whit可更新選項
- 5. Pagebreak(或表格中斷?)以獲得一個良好的格式化PDF
- 6. 一個良好的3D網格庫
- 7. 開發人員個人使用的良好Oracle角色?
- 8. 有人可以顯示一個樣本emacs .erc-auth.el文件的樣子嗎?
- 9. libxml2的xmlParseFile無法加載一個格式良好的XML
- 10. Bootstrap網格佈局良好做法
- 11. 任何人都可以給我一個使用CreateHatchBrush的樣本
- 12. 有一個良好的PHP HTTP類
- 13. 有人可以建議一個好的圖像緩存庫嗎?
- 14. 有人可以推薦一個更好的替代InternetOpenUrl(..)?
- 15. 有人可以推薦一個好的U3D庫嗎?
- 16. 有人可以給WWF一個很好的教程嗎?
- 17. 有人可以在GITkit v2上發佈一些信息
- 18. 如何創建格式良好的PDF?
- 19. SQL Server中格式良好的數字
- 20. XML的StAX格式良好檢查
- 21. 輸出json格式良好的口音
- 22. 有人可以推薦我一個好的圖片上傳腳本
- 23. 是否有一個用於PHP或Javascript的良好JSON格式化程序庫?
- 24. 有人可以發佈一個使用inv_adjacency_iterator_generator創建boost inv_adjacency_iterator的例子嗎?
- 25. 的SimpleXMLElement將不保存可讀格式良好的文件
- 26. 如何在R中發送格式良好的郵件
- 27. Onvif - GetStreamUri說:「XML格式良好的違規發生」
- 28. 良好的雲許可證模式?
- 29. 有人可以寫一個簡單的Python舊樣式類和新樣式類的例子嗎?
- 30. 如何以良好的格式打印/顯示錯誤?
這似乎是顯而易見的危險,但作爲Flash開發人員有10年的經驗,我可以告訴你,我曾經實施的每項政策文件未能在不甚至假裝工作......直到今天。原來你需要自己實際地加載策略文件。這些文檔讓聽起來像Flash在發生SecuritySandbox錯誤之前會自動查找crossdomain.xml文件。因此,如果您正在努力工作,請確保您正在加載策略文件:Security.loadPolicyFile(「http://www.example.com/crossdomain.xml」) – 1owk3y 2017-04-07 03:18:18