我一直在閱讀Adobe在Flash 9-10中使crossdomain.xml更嚴格,我想知道有人可以粘貼他們知道的作品的副本。在Adobe網站上找到最近的示例時遇到一些問題。有人可以發佈一個格式良好的crossdomain.xml樣本?
回答
這是我一直在使用什麼開發:
<?xml version="1.0" ?>
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>
這是一個非常寬鬆的辦法,但罰款我的應用程序。
正如其他人指出的那樣,要小心這種風險。
對於「非常自由的方法,但對測試來說很好」 – jcolebrand 2010-11-05 14:43:00
這在某種意義上是有效的,但請注意這些風險:這意味着*任何*網站都可以代表用戶,cookie和所有內容向您的網站發送請求,並且無任何問題地閱讀回覆。對於大多數Web應用程序來說,這是一個巨大的安全漏洞所以,儘管這種方法有其作用,但請您瞭解風險並在必要時採取嚴格的白名單方法(幾乎總是針對生產應用程序)。 – Matchu 2011-08-19 23:38:01
如果您使用的是webservices,您還需要'allow-http-request-headers-from'元素。這是我們的默認開發「允許一切」政策。
<?xml version="1.0" ?>
<cross-domain-policy>
<site-control permitted-cross-domain-policies="master-only"/>
<allow-access-from domain="*"/>
<allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>
看看Twitter的:
http://twitter.com/crossdomain.xml
<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://www.adobe.com/xml/schemas/PolicyFile.xsd">
<allow-access-from domain="twitter.com" />
<allow-access-from domain="api.twitter.com" />
<allow-access-from domain="search.twitter.com" />
<allow-access-from domain="static.twitter.com" />
<site-control permitted-cross-domain-policies="master-only"/>
<allow-http-request-headers-from domain="*.twitter.com" headers="*" secure="true"/>
</cross-domain-policy>
在生產現場,這似乎適合:
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="www.mysite.com" />
<allow-access-from domain="mysite.com" />
</cross-domain-policy>
使用的crossdomain.xml的一個版本是與一起打包這是多年迭代開發和組合社區知識的產物。但是,它已從存儲庫中刪除。我在這裏逐字拷貝了它,並在下面刪除了一個鏈接。
<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<!-- Read this: https://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html -->
<!-- Most restrictive policy: -->
<site-control permitted-cross-domain-policies="none"/>
<!-- Least restrictive policy: -->
<!--
<site-control permitted-cross-domain-policies="all"/>
<allow-access-from domain="*" to-ports="*" secure="false"/>
<allow-http-request-headers-from domain="*" headers="*" secure="false"/>
-->
</cross-domain-policy>
刪除了#1881
https://github.com/h5bp/html5-boilerplate/commit/58a2ba81d250301e7b5e3da28ae4c1b42d91b2c2
- 1. Android SAXParser:沒有格式良好的文檔...該* do *格式良好
- 2. 有人可以提出IMS的良好學習來源嗎?
- 3. 格式良好的HTTP請求是否可以包含「NULL」?
- 4. 有人可以給我一個PK插入樣本嗎?
- 5. 編譯良好,但有問題發佈whit可更新選項
- 6. Pagebreak(或表格中斷?)以獲得一個良好的格式化PDF
- 7. 開發人員個人使用的良好Oracle角色?
- 8. 一個良好的3D網格庫
- 9. 有人可以顯示一個樣本emacs .erc-auth.el文件的樣子嗎?
- 10. libxml2的xmlParseFile無法加載一個格式良好的XML
- 11. Bootstrap網格佈局良好做法
- 12. 我在哪裏可以找到發佈Maven 2.2.1的信譽良好的站點?
- 13. 任何人都可以給我一個使用CreateHatchBrush的樣本
- 14. 有一個良好的PHP HTTP類
- 15. 是否以link_to良好的Rails練習發佈?
- 16. 有人可以建議一個好的圖像緩存庫嗎?
- 17. 有人可以給WWF一個很好的教程嗎?
- 18. 有人可以推薦一個更好的替代InternetOpenUrl(..)?
- 19. 有人可以推薦一個好的U3D庫嗎?
- 20. 如何創建格式良好的PDF?
- 21. awk中的良好json格式
- 22. XML的StAX格式良好檢查
- 23. SQL Server中格式良好的數字
- 24. 輸出json格式良好的口音
- 25. 有人可以在GITkit v2上發佈一些信息
- 26. 有人可以推薦我一個好的圖片上傳腳本
- 27. 是否有一個用於PHP或Javascript的良好JSON格式化程序庫?
- 28. Ruby單元測試:這是一個有效(格式良好)的XML文檔嗎?
- 29. Connect-K的良好啓發式AI
- 30. A *圖搜索良好的啓發式
這似乎是顯而易見的危險,但作爲Flash開發人員有10年的經驗,我可以告訴你,我曾經實施的每項政策文件未能在不甚至假裝工作......直到今天。原來你需要自己實際地加載策略文件。這些文檔讓聽起來像Flash在發生SecuritySandbox錯誤之前會自動查找crossdomain.xml文件。因此,如果您正在努力工作,請確保您正在加載策略文件:Security.loadPolicyFile(「http://www.example.com/crossdomain.xml」) – 1owk3y 2017-04-07 03:18:18