Flex и crossdomain.xml
Если вы используете Polymer и Firebase (полимерный огонь), см. этот ответ: https://stackoverflow.com/a/46698801/1821603
По существу вы создаете вторичный
5 ответов
Путем добавления crossdomain.xml основная проблема безопасности - то, что приложения флэш-памяти могут теперь соединиться с сервером. Таким образом, если кто-то входит в Ваш сайт и затем просматривает к другому веб-сайту со злонамеренным приложением флэш-памяти, то приложение флэш-памяти может соединиться назад с Вашим сайтом. Так как это находится в браузере, cookie совместно используются к приложению флэш-памяти. Это позволяет приложению флэш-памяти угонять сессию пользователя, чтобы сделать независимо от того, что это - Ваш веб-сайт, обходится без пользователя, знающего об этом.
Если Ваше приложение гибкого провода вручено с того же сервера, Вам не нужен crossdomain.xml
Можно поместить его в подкаталог сайта и использовать System.security.loadSecurityPolicy ()
http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html
Приложения были бы затем ограничены тем деревом Вашей структуры каталогов.
Нет никакого обходного решения для междоменного файла, он требуется, чтобы поддерживать междоменный доступ к данным или междоменные сценарии. В случае любого междоменного запроса Flash будет искать файл crossdomain.xml в корне домена. Например, если Вы запрашиваете XML-файл от:
http://mysubdomain.mydomain.com/fu/bar/
Flash проверит, существует ли файл crossdomain.xml в:
http://mysubdomin.mydomain.com/crossdomain.xml
Можно поместить файл crossdomain.xml в другое местоположение. Однако, когда когда-либо необходимо загружать файл crossdomain.xml из другого местоположения, необходимо сделать это через Security.loadPolicyFile. Примите во внимание, что местоположение этого междоменного оказывает любое влияние на доступ безопасности, который Вы имеете. Flash только предоставит доступ к папке, которая содержит междоменное и ее дочерние папки.
Можно также хотеть читать на изменениях настроек безопасности в Flash Player 10.
Можно настроить виртуальный хост к приложению. Таким образом, файл crossdomain.xml может быть в корне Вашего приложения, но не обязательно в корне сервера.
crossdomain.xml является просто файлом, который имеет значение ко времени выполнения Flash; можно ограничить то, что Запросы HTTP получают для наблюдения его. Можно использовать веб-сервер (например, Apache) управление конфигурацией для разрешения доступа для чтения к нему (и только ему) из "корневого" каталога (см. предыдущие ответы).
Вы могли бы отфильтровать другими заголовками в запросе и т.д.
Удачи
Да. Будьте очень осторожны с файлами междоменной политики:
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/
Мои два общих правила:
- Не размещайте файл междоменной политики на сервере, который использует cookies
- Не размещайте файл междоменной политики на внутреннем сервере