讓我解釋我的情況。我正在使用閃存套接字來構建嵌入式聊天應用程序。一切都很好。我希望允許所有嵌入此應用程序的網站連接到我的服務器,但某些網站除外。忽略大量帶有用於Flash的TCP/IP套接字策略文件的站點
我的問題是,我不想連接到我的服務器的網站數量非常大(4-5k)。 目前從我看到的所有你能做的就是在你的政策文件中告訴你允許/不允許的域名。
我在尋找的是Flash播放器向我發送閃存嵌入的域名的方式,我可以返回接受/拒絕響應。 我知道我可以使用actionscript發送有關flash內嵌網站的信息,但這可以非常容易地模擬。
所以..你知道有關此的任何閃存實現,或者你知道一個更好的方法來實現這個嗎?
謝謝
您可以有多個套接字策略文件。如果您擁有允許的域的白名單,則可以創建腳本爲每個域生成策略文件(如果需要)。這將避免每個連接必須下載具有5000多個條目的單個策略文件。
但請注意,沒有辦法完全保證這一點。無論你做什麼,都有欺騙客戶背景的方法。您可以使用加密swf的混淆器來「提高黑客吧」,但最終您會信任客戶報告其上下文。如果您需要真正的安全性,您需要您的聊天程序擁有基於用戶名,密碼或密鑰的授權系統,並且忘記嘗試管理允許的域名,而是以授權用戶的角度思考。
感謝您的回覆。我知道沒有100%安全的東西。我想要的是沒有人使用嵌入式swf連接到我的服務器,除非我也想。目前的跨平臺政策系統似乎沒有問題,但我認爲當您需要允許/阻止大量域名時可能會遇到問題。我不確定我知道如何爲每個域創建多個策略文件。從我所知道的Flash播放器向我發送一條帶有策略請求的消息,並且我向他發送了帶有允許/阻止的域名的響應。你能給我更多關於多個策略文件的細節嗎? – 2011-04-20 21:08:12
不理會這一點。我在考慮一些我曾經爲跨域策略文件做過的事情,這很容易,因爲您可以在請求中發送域名。您也可以有多個套接字策略文件,但您需要使用不同的端口(遠離理想解決方案,考慮防火牆問題)。你可能最好使用允許的域的*通配符,並且在連接到你的聊天服務器時做一個單獨的認證握手。 – 2011-04-21 02:38:43
爲什麼不使用IP白名單來允許聊天服務器上的套接字連接? – 2011-04-20 14:02:15