allow-access-from节点具有可选属性“secure”。所以说mysite.com上的crossdomain.xml有:
<allow-access-from domain="subdomain.example.com" secure="false">
如果将此设置为true(默认值),则通过HTTP检索的Flash客户端无法通过HTTPS访问mysite.com上的数据。
我只能想到将安全设置为false的一个风险:具有中毒主机文件或DNS服务器的用户可能会被转移到虚假http://subdomain.example.com上的Flash客户端。此Flash客户端现在可以访问mysite.com上的敏感数据(假设我们的用户已登录到mysite.com)。
还有其他风险吗?我假设数据仍然是加密的,因为客户端连接到https服务器,因此它在传输上受到保护。
我已阅读Flash安全白皮书,但没有详细说明风险: http://www.adobe.com/devnet/flashplayer/articles/flash_player10_security_wp.html
谢谢!
答案 0 :(得分:3)
发送到您的SWF的任何数据将安全(假设它已通过HTTPS连接),数据从一个发送到SWF如您所知,第三方将无法通过此设置获得安全保障。
例如,我使用社会安全号码登录您的swf。与SWF的连接是安全所以我在那里“安全”。但是,您的SWF通过HTTP将登录数据发送到您的服务器以验证我的凭据。在使用不安全连接从您的服务器收到有价值的数据后,security is compromised。
如果数据不重要,那么你是安全的,但根据经验,我总是会在可能的情况下将HTTPS连接到HTTPS。
<强>问候 -