我有一個Adobe AIR/FLEX應用程序打包爲桌面上運行的本機安裝程序應用程序。從那裏,我需要做到以下幾點:a)留在「app:」應用程序沙箱中,這樣我就可以將「file://」JPG加載到我的mx:HTML控件 b)通過我的服務器(CAKEPHP)進行身份驗證獲得一個有效的CAKEPHP會話Cookie,並且c)安全地從javascript獲取/ POST XHR請求。如何使用遠程服務器(CAKEPHP)驗證桌面FLEX/AIR應用程序?
我可以使用OAUTH或Facebook Connect之類的東西進行身份驗證而不會丟失應用程序沙箱嗎?看起來如果我從我的MX:HTML重定向,我失去了我的本地特權。
我可以使用不同的沙盒(遠程?)與我的服務器進行身份驗證,並安全地將會話Cookie傳遞給我的應用程序沙箱?
這些方法中的任何一種都可以避免腳本攻擊?
我可以使用OAUTH或Facebook Connect之類的東西進行身份驗證而不會丟失應用程序沙箱嗎?看起來如果我從我的MX:HTML重定向,我失去了我的本地特權。
我可以使用不同的沙盒(遠程?)與我的服務器進行身份驗證,並安全地將會話Cookie傳遞給我的應用程序沙箱?
我不知道空氣/ FLEX但肯定可以的OpenID/OAUTH/Facebook連接集成到你的蛋糕應用程序的註冊/登錄屏幕,沒有任何問題,然後用它來你的用戶進行身份驗證。我不會重定向,而是使用post/get方法將登錄數據發送到cake應用程序(users/login),確保沒有爲login()呈現視圖/佈局並返回用戶會話數據(json_encode $ this-> Auth-> user)。
這兩種方法都可以抵禦腳本攻擊嗎?
它們可以是如果你確保login()函數只能被應用程序訪問,可能發送一個唯一的標識符,加密數據(通過SSL或只是序列化)。另外,對XSS進行標準檢查,延遲暴力和蛋糕的方法實際上有一些很好的處理注射器的清理方法(通常默認啓用)。
我不知道我明白。你想達到什麼目的? (給出一個概述,而不是具體的技術'我可以做'問題) – 2011-04-21 14:19:07