hyp*_*ext 6 security flash cross-domain
allow-access-from节点具有可选属性"secure".所以说mysite.com上的crossdomain.xml有:
<allow-access-from domain="subdomain.example.com" secure="false">
如果将此设置为true(默认值),则通过HTTP检索的Flash客户端无法通过HTTPS访问mysite.com上的数据.
我只能想到将安全设置为假的一个风险:具有中毒主机文件或DNS服务器的用户可能会被转移到虚假http://subdomain.example.com上的Flash客户端.此Flash客户端现在可以访问mysite.com上的敏感数据(假设我们的用户已登录到mysite.com).
还有其他风险吗?我假设数据仍然是加密的,因为客户端连接到https服务器,因此它在传输上受到保护.
我已经阅读了Flash安全白皮书,但没有详细介绍风险:http: //www.adobe.com/devnet/flashplayer/articles/flash_player10_security_wp.html
谢谢!
虽然发送到 SWF 的任何数据都是安全的(假设它是通过 HTTPS 连接的),但正如您所知,通过此设置从第三方发送到 SWF 的数据将不安全。
例如,我使用我的社会安全号码登录您的 swf 。与 SWF 的连接是安全的,因此我在那里“安全”。但是,您的 SWF 通过 HTTP 将登录数据发送到您的服务器以验证我的凭据。通过不安全的连接从您的服务器接收到有价值的数据security is compromised后, .
如果数据不重要,那么你是安全的,但根据经验,如果可能的话,我总是会连接 HTTPS 到 HTTPS。
问候-
| 归档时间: |
|
| 查看次数: |
3108 次 |
| 最近记录: |