Flex y crossdomain.xml
security (5)
Al agregar crossdomain.xml, la principal preocupación de seguridad es que las aplicaciones flash ahora se pueden conectar a su servidor. Entonces, si alguien inicia sesión en su sitio y luego navega hacia otro sitio web con una aplicación flash maliciosa, esa aplicación flash puede conectarse nuevamente a su sitio. Dado que está en un navegador, las cookies se comparten en la aplicación flash. Esto permite a la aplicación flash secuestrar la sesión del usuario para hacer lo que sea que haga su sitio web sin que el usuario lo sepa.
Si su aplicación flex se sirve desde el mismo servidor, no necesita un dominio cruzado.xml
Puede colocarlo en un subdirectorio de su sitio y usar System.security.loadSecurityPolicy ()
http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html
Las aplicaciones se limitarían entonces a ese árbol de la estructura de su directorio.
Me preguntaba si existe algún problema de seguridad al agregar crossdomain.xml a la raíz de un servidor de aplicaciones. ¿Se puede agregar a otras partes del servidor y conoce alguna solución alternativa que no requiera que el servidor tenga este archivo en su lugar?
Gracias Damien
Puede configurar un host virtual para su aplicación. De esta forma, el archivo crossdomain.xml puede estar en la raíz de su aplicación pero no necesariamente en la raíz del servidor.
crossdomain.xml es solo un archivo que tiene un significado para el tiempo de ejecución de Flash; puede restringir lo que las solicitudes HTTP obtienen para verlo. Puede usar el control de configuración del servidor web (por ejemplo, Apache) para permitir el acceso de lectura a él (y solo a él) desde el directorio "raíz" (ver respuestas anteriores).
Puede filtrar por otros encabezados en la solicitud, etc.
Aclamaciones
No hay ninguna solución para el archivo de dominios cruzados, es necesario para admitir el acceso a datos de dominios cruzados o secuencias de comandos de dominios cruzados. En el caso de una solicitud entre dominios, Flash buscará el archivo crossdomain.xml en la raíz del dominio. Por ejemplo, si está solicitando un archivo XML desde:
http://mysubdomain.mydomain.com/fu/bar/
Flash comprobará si existe un archivo crossdomain.xml en:
http://mysubdomin.mydomain.com/crossdomain.xml
Puede colocar el archivo crossdomain.xml en otra ubicación. Sin embargo, cuando necesite cargar un archivo crossdomain.xml desde una ubicación diferente, debe hacerlo a través de Security.loadPolicyFile . Tenga en cuenta que la ubicación de este dominio cruzado tiene algún impacto en el acceso de seguridad que tiene. Flash solo otorgará acceso a la carpeta que contiene el dominio cruzado y sus carpetas secundarias.
Es posible que también desee leer sobre los cambios de seguridad en Flash Player 10 .
Sí. Tenga mucho cuidado con los archivos de políticas de dominios cruzados:
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
Mis dos reglas generales son:
- No coloque un archivo de política de dominio cruzado en un servidor que use cookies
- No coloque un archivo de política de dominio cruzado en un servidor interno