Ger*_*rit 6 security flash flash-cs3
我有一部Flash电影,从外部URL加载数据.事实上,它是横幅内的RSS阅读器.
当Flash电影和数据URL位于同一域时,一切都很完美.但是,如果Flash影片位于其他域中,则Flash安全性会启动.
手册说我可以通过Security.AllowDomain()允许域名
system.Security.allowDomain("http://www.mydomain.abc/")
xmlData = new XML();
xmlData.ignoreWhite = true;
xmlData.onLoad = loadXML;
xmlData.load("http://www.mydomain.abc/content.php");
但是当我将.swf嵌入HTML页面时,数据将无法加载.有关如何调试或解决此问题的任何提示?
Mat*_*hen 13
我认为你误解了这种方法的目的.作为文档:说,allowDomain:
允许标识的域中的SWF文件文件访问包含allowDomain()调用的SWF文件中的对象和变量.
[...]
通过调用Security.allowDomain("siteA.com"),siteB.swf为siteA.swf提供脚本编写权限.
所以你正在进行的调用让www.mydomain.abc上的swf文件通过调用脚本swf.你基本上是在说,"我相信他们能正确使用我." 它不允许您执行您尝试执行的操作(从该域加载资源).
让客户端代码简单地要求以您请求的方式绕过跨域安全性是没有意义的.如果你要做的就是问,为什么甚至首先要有规则呢?
要执行所需操作,可以使用www.mydomain.abc上的crossdomain.xml文件或服务器端代理.从本质上讲,crossdomain.xml文件将包含如下行:
<allow-access-from domain="www.yourswfdomain.com" />
,其中www.yourswfdomain.com是swf文件的域名.显然,此解决方案需要www.mydomain.abc的支持.
Yahoo有关于设置服务器端代理的信息.它的目标是XMLHttpRequest,但同样的原则适用于Flash.
修复。Adobe Docs解释了在 mydomain.abc 的根目录中创建名为 crossdomain.xml 的文件的方法
<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<allow-access-from domain="www.domain-of-swf.com" />
</cross-domain-policy>
请勿使用, <allow-access-from domain="*" />因为这将允许互联网上的任何 SWF 代表您的用户调用您的域,并将所有 cookie 附加到请求中。这将泄漏私人数据,除非您的域不存储此类数据或不使用 cookie/HTTP 身份验证。