Flash安全的一些总结WEB安全电脑资料

1、Flash安全的一些总结 WEB安全电脑资料了下 Flash 安全相关的知识，后面会再完善一、先来说 crossdomain.xml 这个文件flash 如何跨域通信，全靠 crossdomain.xml 这个文件，比如下面的列子：1 、.a. 域下不存在 crossdomain.xml 文件，则不允许除了 .a. 域之 外的其他任何域下的 flash 进行跨域请求。2 、 .a. 域下存在 crossdomain.xml 文件，如若配置allow-aess-from 为.b.，则只允许.b.域下的flash 进行跨域请求， 以及自身域 .a. 的网络请求。crossdomain.xml 需严

2、格遵守XML语法，有且仅有一个根节点cross-domain-policy ，且不包含任何属性。在此根节点下只能包含 如下的子节点：site-controlallow-aess-fromallow-aess-from-identityallow-request-headers-fromsite-control早期的 flash 允许从其他位置载入自定义的策略文件，目前最新 版的 flash 在接受自定义的策略文件之前会去检查主目录的 crossdomain.xml 来判断是否接受自定义策略文件。该选项就由 site-control 进行控制。不加该选项时，默认情况下 flash 不加载除主策略

3、文件之外的其 他策略文件，即只接受根目录下的 crossdomain.xml ，这样可以防止 利用上传自定 义策略文件进行的攻击。 如果需要启用其他策略文件， 则需要配置 permitted-cross-domain-policies 属性，该属性有以下 五个 值： none: 不允许使用 loadPolicyFile 方法加载任何策略文 件，包括此主策略文件。master-only: 只允许使用主策略文件 默认值 by-content-type: 只允许使用 loadPolicyFile 方法加载 /S 协议 下 Content-Type 为 text/x-cross-domain-poli

4、cy 的文件作为跨域策 略文件。by-ftp-file name:只允许使用loadPolicyFile方法加载FTF协议下文件名为 crossdomain.xml 的文件作为跨域策略文件。all:可使用 loadPolicyFile 方法加载目标域上的任何文件作为跨域策略文件，甚至是一个JPG也可被加载为策略文件！例子：允许通过 /S 协议加载头中 Content-Type 为text/x-cross-domain-policy 的文件作为策略文件允许加载任意文件作为策略文件allow-aess-from该选项用来限制哪些域有权限进行跨域请求数据。allow-aess-from 有三个属性d

5、omain ：有效的值为 IP 、域名，子域名代表不同的域，通配符 * 单独使用代表所有域。通配符作为前缀和域名进行组合代表多个域， 比如 *.weibo., 代表 weibo. 所有的子域。to-ports ：该属性值表明允许访问读取本域内容的 socket 连接端 口范围。可使用 to-ports=1100,1120-1125 这样的形式来限定端口 范围，也可使用通配符（ * ）表示允许所有端口。secure ：该属性值指明信息是否经加密传输。 当 crossdomain.xml 文件使用 s 加载时， secure 默认设为 true 。此时将不允许 flash 传 输非 s 加密内容。

6、若手工设置为 false 则允许 flash 传输非 s 加密内 容。例子a./crossdomain.xml 文件内容如下允许所有 _. 的子域通过 s 对 t. _. 域进行跨域请求。allow-aess-from-identity该节点配置跨域访问策略为允许有特定证书的跨域访问本域上的 资源。每个 allow-aess-from-identity 节点最多只能包含一个 signatory 子节点。allow-request-headers-from此节点授权第三方域 flash 向本域发送用户定义的头。allow-request-headers-from包含三个属性：domain ：作用

7、及参数格式与 allow-aess-from 节点中的 domain 类 似。headers ：以逗号隔开的列表，表明允许发送的头。 可用通配符（* ） 表示全部头。secure ：作用及用法与 allow-aess-from 节点中的 secure 相同。注： Flash 在自定义头中无法使用下列请求标题，并且受限制的 词不区分大小写（例如，不允许使用 Get 、get 和 GET）。 另外， 如果使用下划线字符，这也适用于带连字符的词（例如，不允许使用 Content-Length 和 Content_Length ）：Aept-Charset 、Aept-Encoding 、Aept-R

8、anges、Age、Allow 、Allowed 、 Authorization 、Charge-To 、Connect、Connection 、Content-Length 、 Content-Location 、Content-Range 、Cookie 、Date、Delete 、ETag、 Expect 、Get、Head、Host 、Keep-Alive 、Last-Modified 、Location 、 Max-Forwards、Options 、Post 、Proxy-Authenticate 、 Proxy-Authorization 、Proxy-Connection 、P

9、ublic 、Put 、Range、 Referer 、Request-Range、Retry-After 、Server 、TE、Trace 、Trailer 、 Transfer-Encoding 、Upgrade、URI、User-Agent 、Vary、Via 、Warning、 -Authenticate 和 x-flash-version ，二、web应用中安全使用flash设置严格的 crossdomain.xml 文件可以提高服务端的安全性，在 web应用中也会经常使用flash，一般是通过ExternalCall.Simple(this.flashReady_Callback

10、);public static function Simple(arg0:String)ExternalInterface.call(arg0);return;XSS接收到外部传入的movieName没有进行处理，最后通过 ExternalInterface.call() 进行执行，这样就能够执行任意的 javascript 代码，如果在调用 flash 的时候设置的不够安全就是 漏洞。所以在 flash 编程中如果需要通过参数接收外部传入的数据， 定要对数据进行严格的检查，这样才能保证 flash 安全性。参考文档：Flash 应用安全规范 .80sec./flash-security-polic.htmlflash跨域策略文件 crossdomain.