as跨域问题解决总结

发布时间:2010-9-26浏览:

核心提示:as跨域问题解决总结

总结一下在工作中遇到的跨域问题!
一、报安全沙箱问题,没有可用的安全策略文

关于策略文件,我改的是目标服务器(也就是图片服务器)上的策略文件,在策略文件里把flash所在域的域名加上就可以了!

东西还是挺简单的,就是网上说法太多了,表达的也不太清楚,在这里明确一下!

策略文件语法:
下面的示例显示了一个策略文件,该文件允许访问源自 *.example.com、www.zol.com 和 192.0.34.166 的 SWF 文件。

< ?xml version="1.0"? >
< cross-domain-policy >
    < allow-access-from domain="*.DE>exampleDE>.com" / >
    < allow-access-from domain="www.zol.com" / >
    < allow-access-from domain="192.0.34.166" / >
< /cross-domain-policy >


当某个 SWF 文件试图访问另一个域中的数据时,Flash Player 会尝试自动从该域加载策略文件。如果试图访问数据的 SWF 文件所在的域包括在该策略文件中,则数据将自动成为可访问数据。
默认情况下,策略文件必须命名为 crossdomain.xml,并且必须位于服务器的根目录中。但是,SWF 文件可以通过调用 Security.loadPolicyFile() 方法检查是否为其它名称或位于其它目录中。跨域策略文件仅适用于从其中加载该文件的目录及其子目录。因此,根目录中的策略文件适用于整个服务器,但是从任意子目录加载的策略文件仅适用于该目录及其子目录。
策略文件仅影响对其所在特定服务器的访问。例如,位于 https://www.zol.com:8080/crossdomain.xml 的策略文件只适用于在端口 8080 通过 HTTPS 对 www.zol.com 进行的数据加载调用。
跨域策略文件包含单个< cross-domain-policy >标签,该标签又包含零个或多个< allow-access-from >标签。每个< allow-access-from >标签包含一个属性 domain,该属性指定一个确切的 IP 地址、一个确切的域或一个通配符域(任何域)。通配符域由单个星号 (*)(匹配所有域和所有 IP 地址)或后接后缀的星号(只匹配那些以指定后缀结尾的域)表示。后缀必须以点开头。但是,带有后缀的通配符域可以匹配那些只包含后缀但不包含前导点的域。例如,foo.com 会被看作是 *.foo.com 的一部分。IP 域规范中不允许使用通配符。
如果您指定了一个 IP 地址,则只向使用 IP 语法从该 IP 地址加载的 SWF 文件(例如 http://65.57.83.12/flashmovie.swf)授予访问权限,而不向使用域名语法加载的 SWF 文件授予访问权限。Flash Player 不执行 DNS 解析。
您可以允许访问来自任何域的文档,如下面的示例所示:
 

< ?xml version="1.0"? >< !-- http://www.foo.com/crossdomain.xml -- >< cross-domain-policy >  < allow-access-from domain="*" / >< /cross-domain-policy >


每个< allow-access-from > 标签还具有可选的 secure 属性,其默认值为 true。如果您的策略文件在 HTTPS 服务器上,并且要允许非 HTTPS 服务器上的 SWF 文件从 HTTPS 服务器加载数据,则可以将此属性设置为 false。
将 secure 属性设置为 false 可能会危及 HTTPS 提供的安全性。特别是将此属性设置为 false 时,会使安全内容受到电子欺骗和窃听攻击。Adobe 强烈建议不要将 secure 属性设置为 false。
如果要加载的数据位于 HTTPS 服务器上,但是加载数据的 SWF 文件位于 HTTP 服务器上,则 Adobe 建议将要执行加载的 SWF 文件移动到 HTTPS 服务器上,以便可以使安全数据的所有副本都能得到 HTTPS 的保护。但是,如果决定必须将要执行加载的 SWF 文件保存在 HTTP 服务器上,则需将 secure="false" 属性添加到< allow-access-from > 标签,如以下代码所示

< allow-access-from domain="www.example.com" secure="false" / >


不包含任何< allow-access-from >标签的策略文件相当于服务器上没有策略。


二、远程加载图片,无法显示,已经设置跨域文件
一开始的思路:当使用 Loader 类的 load() 方法加载图像时,可以指定一个 context 参数,该参数是一个 LoaderContext对象。如果将 LoaderContext 对象的 checkPolicyFile 属性设置为 true,则 Flash Player将在从其中加载该图像的服务器上检查是否存在跨域策略文件。如果存在跨域策略文件且该文件允许执行加载的 SWF文件所在的域进行访问,则会允许该文件访问 Bitmap 对象中的数据,否则就不允许。
最后解决方法如下:
import flash.display.Loader;
import flash.net.URLRequest;
import flash.system.LoaderContext;

var lc:LoaderContext = new LoaderContext(true);
var loader:Loader = new Loader();
loader.load(new URLRequest("http://xxxxxxxx/xxxx.jpg"),lc);

//需要在原来的调用基础增加LoaderContext类;
最后看一下:
checkPolicyFile 属性
public var checkPolicyFile:Boolean = false 语言版本 :   ActionScript 3.0
Player 版本 :   Flash Player 9

指定 Flash Player 是否应在开始加载对象本身之前,尝试从所加载对象的服务器上下载跨域策略文件。 此标志适用于 Loader.load() 方法,但不适用于 Loader.loadBytes() 方法。
如果您从执行调用的 SWF 文件所在的域之外加载图像(JPEG、GIF 或 PNG),并且您预计将需要从 ActionScript 访问该图像的内容,请将此标志设置为 true。 访问图像内容的示例包括引用 Loader.content 属性以获得 Bitmap 对象,以及调用 BitmapData.draw() 方法以获得所加载图像像素的副本。 如果您在加载时没有指定 checkPolicyFile 就尝试执行这些操作之一,您可能会得到一个 SecurityError 异常,这是因为尚未下载所需的策略文件。
在 LoaderContext.checkPolicyFile 被设置为 true 的情况下调用 Loader.load() 方法时,Flash Player 在成功下载相关的跨域策略文件后或发现不存在这样的策略文件后才开始下载 URLRequest.url 中的指定对象。 Flash Player 首先考虑已经下载的策略文件,然后尝试下载在对 Security.loadPolicyFile() 方法的调用中指定的任何待下载策略文件,最后尝试从与 URLRequest.url 对应的默认位置(即 URLRequest.url 所在的服务器上的 /crossdomain.xml)下载策略文件。 在所有情况下,Flash Player 都要求给定的策略文件存在于其服务器上,要求它利用策略文件的位置提供对位于 URLRequest.url 的对象的访问,并要求它利用一个或多个 标签允许执行调用的 SWF 文件的域进行访问。
如果您将 checkPolicyFile 设置为 true,Flash Player 会等待至策略文件下载完成后再开始执行您在 Loader.load() 方法中指定的主下载。 因此,只要您需要的策略文件存在,一旦您收到来自 Loader 对象的 contentLoaderInfo 属性的任何 ProgressEvent.PROGRESS 或 Event.COMPLETE 事件,就说明该策略文件下载已完成,您就可以安全地开始执行需要该策略文件的操作。
如果您将 checkPolicyFile 设置为 true,并且未找到相关的策略文件,则除非您尝试执行的操作引发了 SecurityError 异常,否则您将不会收到任何错误指示。 但是,一旦 LoaderInfo 对象调度 ProgressEvent.PROGRESS 或 Event.COMPLETE 事件,您就可以通过检查 LoaderInfo.childAllowsParent 属性的值来测试是否找到了相关的策略文件。
如果不需要对正在加载的图像进行像素级的访问,则不应将 checkPolicyFile 属性设置为 true。 在这种情况下不必再检查是否存在策略文件,因为这样会延迟下载的开始时间,并且可能会不必要地占用网络带宽
如果是使用 Loader.load() 方法下载 SWF 文件,也尽量不要将 checkPolicyFile 设置为 true。 这是因为 SWF 到 SWF 的权限不是由策略文件控制的,而是由 Security.allowDomain() 方法控制的,因此在加载 SWF 文件时 checkPolicyFile 不起任何作用。 在这种情况下不必再检查是否存在策略文件,因为这样会延迟 SWF 文件的下载,并且可能会不必要地占用网络带宽 (Flash Player 无法判断您的主下载将是 SWF 文件还是图像,这是因为策略文件下载先于主下载进行)。
如果是从可能使用服务器端 HTTP 重定向的 URL 下载对象,则使用 checkPolicyFile 时要小心。 Flash Player 总是会尝试检索与您在 URLRequest.url 中指定的初始 URL 对应的策略文件。 如果由于 HTTP 重定向而导致最终对象来自其它 URL,则最初下载的策略文件可能不适用于该对象的最终 URL,而最终 URL 对于安全性决策非常重要。 如果发现处于这种情况,可以在收到 ProgressEvent.PROGRESS 或 Event.COMPLETE 事件后检查 LoaderInfo.url 的值,它会告诉您该对象的最终 URL。 接着,用一个基于该对象的最终 URL 的策略文件 URL 调用 Security.loadPolicyFile() 方法。 然后轮询 LoaderInfo.childAllowsParent 的值,直到它变为 true。


前一篇:定做程序设计
后一篇:美国社会的自信
分享到: