如果位於http://example.com/test.swf的swf向https://secure.com/webservice.xml發出請求,會發生什麼情況? Adobe有關跨域策略文件的文檔記錄了「安全」屬性。Flash訪問https資源時會發生什麼?
安全:HTTPS和插座只, 可選]指定訪問是否被 只授予HTTPS從 指定的原產地文件(true),還是從指定起點 (假)的所有 文件。如果安全未在 中指定HTTPS策略文件,則默認爲 爲true。不建議在HTTPS策略 文件中使用false,因爲此 會危及由 HTTPS提供的安全性;例如,允許 中間人攻擊獲得 訪問由策略文件保護的HTTPS數據。
這是否意味着Flash播放器實際上會發出HTTP請求,而不是HTTPS?是否存在推定對從非安全域提供的.swf文件信任度較低的問題?如果Flash播放器提出正確的SSL請求,我不會看到其他中間人中間漏洞來自哪裏。如果沒有,我必須認爲Web服務器可能會被配置爲拒絕它。