我正在尝试以 3 种方式播放位于远程服务器上的 FLV 文件(进程中不存在“crossdomain.xml”):
你猜怎么着?
结论:Flash的跨域安全无用。
请告诉我哪里错了,或者我只是在帮助别人理解这种安全性是无用的。
【问题讨论】:
标签: security flash cross-domain flv
我不打算自己写答案,因为我觉得@jpea 已经写了最重要的东西。但似乎 crossdomain.xml 文件的想法和使用仍然不清楚。所以这里是:
Cross-site scripting不是指的是从其他服务器访问媒体内容,而是指用于大约 80% 的所有互联网安全违规行为的攻击方法。它可以通过许多不同的方式发生,但总是涉及将外部代码注入网页(或插件内容)以使 客户端 以非预期的方式运行。它可能会导致稍后对服务器的攻击,但最初的问题总是与客户端的漏洞有关。
Crossdomain-policy 文件是所谓的“same-origin-policy”的 Flash 实现,它是防止跨站点脚本的重要组成部分。本质上,它旨在确保由 SWF 加载的任何内容都必须与原始内容在同一个域中(而不是“在同一台服务器上”)。
这在实践中意味着什么?这意味着,例如,不允许攻击者将您的原始 SWF 加载到托管在不同服务器上的(不可见的)封闭 SWF 中,并监控所有传入和传出流量,或捕获键盘事件,以窃取密码等:跨域策略将导致停止执行所有 ActionScript 的安全错误。
它不是,但是会阻止 FLV 文件以其他方式播放 - 这绝对不是它的意图。
诚然,有一些(或多或少容易)绕过跨域策略文件的方法,例如使用代理来引导 SWF URL 请求,因此使用它们不会带来“真正的”安全性。但作为多级安全策略的一部分,它们确实有助于提高攻击者的门槛。
【讨论】:
crossdomain.xml 旨在作为 Flash 播放器插件的安全措施。单独的 FLV 不是安全风险,播放器是。在实例 #2 中,您没有使用 Flash 播放器。实例 #3,它使用 Flash 在其 IDE 中使用的相同安全性(以允许调试)。实例 #1 完全按预期工作。
crossdomain.xml 并不意味着作为一种 DRM 安全性,或者不允许下载文件。它旨在禁止非预期域使用来自另一台服务器的 FLV/F4V(更广为人知的跨站点脚本)。
【讨论】: