更嚴格的crossdomain.xml政策說我有一個網站(example.com)具有典型的「非常寬鬆」政策:的一些路徑
<cross-domain-policy>
<allow-access-from domain="*" secure="false"/>
</cross-domain-policy>
這曾經是罰款,因爲該網站只包含公共數據。但現在,我添加了路徑「http://example.com/sensitive」,其中可能包含有關瀏覽我的網站的用戶的一些稍微敏感的信息。我想建立一個更嚴格的政策,它是這樣的:
<cross-domain-policy>
<allow-access-from domain="*.example.com"/>
</cross-domain-policy>
說我把這個「crossdomain.xml的」在「http://example.com/sensitive」,我也修改根策略是這樣的:
<cross-domain-policy>
<allow-access-from domain="*" secure="false"/>
<site-control permitted-cross-domain-policies="by-content-type"/>
</cross-domain-policy>
那夠了嗎?我不明白,如果「子策略」實際上可能比根策略更嚴格 - 即是否在flash客戶端的緯度上加載子策略,還是始終加載該子策略?