我很难弄清楚为什么crossdomain.xml是一个有用的功能。它似乎又回到了我面前。为什么限制Flash(默认情况下)从公开服务中读取?
防止下载恶意闪存软件的人员遭受DDOS攻击有什么意义。
它似乎并没有保护闪存用户只有第三方网站,特别是因为它可以通过代理来规避它似乎使整个事情毫无意义。
答案 0 :(得分:2)
Flash文件在受信任环境中的用户计算机上执行。如果没有跨域文件,swf可以猜测内部服务,防火墙后面的任何内容,用户可以访问但SWF不应该访问。这是一个主要的安全风险。虽然该政策还有其他原因,但这是迄今为止最重要的原因。所以你是正确的,它需要访问公共api,但它比访问私有api更好,想象企业目录服务,只是因为内容在你的机器上运行。
答案 1 :(得分:2)
跨域策略文件可以从需要身份验证的内部服务器和服务器公开受保护的数据。更多细节:
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
答案 2 :(得分:-1)
我只是想到了这一点。老实说,当我开始提问时,这不是我的想法。
可能是为了保护Flash文件的开发者。假设某人没有技术知道如何反编译Flash文件,并且其数据请求硬编码。提升公共网络服务器的Flash文件并放置在您自己的网络服务器上会有效地使该闪存失效。
如果是这种情况,则flash文件发出的所有请求都应使用完全限定的请求。即不是相对要求。
Dunno,如果那是他们在想什么。