java与FlashSocket通信安全(转载)

java与FlashSocket通信安全(转载)(2009-03-28 01:04:06)标签：socket domain xml 安全策略 from it 分类：技术开源 在Adobe Flash Player升级到9.0.124后，由于安全策略的更改，使得在socket或xmlsocket的应用里，原先如用http方式加载安全策略的手段不能继续使用了，类似此类应用必须使用xmlsocket://方式来提供安全策略。flashplayer的安全策略检测过程如下： 1,首先检测目标服务器的843端口是否提供安全策略 2,如果1没有检测到策略，则检测actionscript是否使用了Security.loadPolicyFile(xmlsocket://) 手段提供安全策略，如果还没检测到，则使用第3步检测 3,检测目标服务器目标端口是否提供安全策略 如果上述检测都不成功，则socket或xmlsocket则拒绝连接目标服务器。 昨天做测试的时候遇到一个问题，做好的SWF在Flash AS3中调试通过，但是发布到html中之后就无法得到数据了。查了一些资料之后找到了解决办法。这里感谢 剑心提供帮助，以及同事若水三千提供Java代码及日志记录。 1、问题描述 将flash发布为html格式后，加载页面后，swf无法与服务器进行socket通信。Flash端显示的错误为： securityErrorHandler信息: [SecurityErrorEvent type="securityError" bubbles=false cancelable=false eventPhase=2 text="Error #2048"] 在服务器端显示的信息是由客户端尝试进行连接，但是无法接受数据。接受的数据显示为空。 2.问题原因： 最新的Flash player 9.0.124.0，当flash文件要进行socket通信的时候，需要向服务器端获取crossdomain.xml文件。如果找不到就出现客户端无法连接服务器的现象。 了解flash发起socket通信的三个过程 当封装在页面的flash发起socket通信请求的时候会先寻找服务器端的843端口，获取Crossdomain.xml文件，当服务器没有开启 843的时候，flashPlayer会检查发起请求的swf文件中中有没有使用Security.loadPolicyFile来加载策略文件 Crossdomain.xml，如果还是没有就会看这个发起请求的swf要连接的目标端口有没有策略文件。如果都没有那么连接失败,返回如上的出错提示。 为什么老版本的Flash player没有这个问题？ 从一些官方的一些资料中了解了一下。以前的Flash Player无论你采用urlRequest的http请求方式或者xmlsocket socket方式，他们都共用一个安全策略文件。这个策略文件只要你放在主域的目录下就行了。而现在不行了，现在的策略文件如果你使用http请求方式那么需要把策略文件放在目录下面，如果你使用socket请求方式就必须通过socket端口来接收这个策略文件。 对应调用的方式为： http请求——》Security.loadPolicyFile(“http://www.xxx.com/crossdomain.xml”) socket或xmlsocket请求——》Security.loadPolicyFile(“xmlsocket://www.xxx.com：port”) 怎么将Socke策略文件发给Flash Player Flash Player在你的socket.connect("domain",port)运行之前，会按照前面描述的三个过程向你的socket服务器的843端口（据说Adobe已经向相关管理机构申请保留843端口给Flash Player用）发送一个字符串 ""，这个时候如果你有一个服务在监听843端口那么收到这个字符串之后，直接按照XML格式发回策略文件就解决了。（注意发回的时候记得加一个截止字符"/0"） 当然你也可以不用843端口自己设置一个端口。因为Flash Player如果在843端口得不到信息，就会检查你是否在你的Flash文件里面自己添加了指定的获取通道，你可以定义一个自己的端口。不过这个时候你不能用http方式，而要用xmlsocket方式。（相当于自动帮你新建了一个xmlsocket对象，然后链接你指定的主机和端口）。比如你想用 1234端口可以在你的Flash里面加这一句 Security.loadPolicyFile(“xmlsocket://www.xxx.com:1234”)，需要注意的是这一句要加在你的 socket.connect前面。 还有最后一个办法，就是在你的socket连接端口监听这个请求。比如你用的是 socket.connect("192.168.1.100",8888),那么在你的服务器加一段接收字符串""的代码，当接到这个字符串时将策略文家按照xml格式发到客户端。 关于策略文件的格式（可以在Flash CS3帮助里面的Flash Player安全性——》控制权限概述中找到） 1、针对web应用的策略文件 下面的示例显示了一个策略文件，该文件允许访问源自 *.iflashigame.com 和 192.0.34.166 的 SWF 文件。

注意事项： 默认情况下，策略文件必须命名为 crossdomain.xml，并且必须位于服务器的根目录中。但是，SWF 文件可以通过调用 Security.loadPolicyFile() 方法检查是否为其它名称或位于其它目录中。跨域策略文件仅适用于从其中加载该文件的目录及其子目录。因此，根目录中的策略文件适用于整个服务器，但是从任意子目录加载的策略文件仅适用于该目录及其子目录。 策略文件仅影响对其所在特定服务器的访问。例如，位于 https://www.adobe.com:8080/crossdomain.xml 的策略文件只适用于在端口 8080 通过 HTTPS 对 www.adobe.com 进行的数据加载调用。 2、针对Socket的策略文件 这个策略文件是指定允许哪些域的主机通过那些端口链接。 参考文章 flash xmlsocket policy 问题 Policy file changes in Flash Player 9 Setting up a socket policy file server Understanding Flash Player 9 April 2008 Security Update compatibility 获取策略文件的Java服务器端代码 import java.io.BufferedReader; import java.io.BufferedWriter; import java.io.IOException; import java.io.InputStreamReader; import java.io.OutputStreamWriter; import java.net.ServerSocket; import java.net.Socket; public class SecurityXMLServer implements Runnable { private ServerSocket server; private BufferedReader reader; private BufferedWriter writer; private String xml; public SecurityXMLServer() { String path = "policyfile文件路径"; //此处的换成相应的读取xml文档的方式如dom或sax //xml = readFile(path, "UTF-8"); xml=" " +"" +" "; System.out.println("policyfile文件路径: " + path); System.out.println(xml); //启动843端口 createServerSocket(843); new Thread(this).start(); } //启动服务器 private void createServerSocket(int port) { try { server = new ServerSocket(port); System.out.println("服务监听端口：" + port); } catch (IOException e) { System.exit(1); } } //启动服务器线程 public void run() { while (true) { Socket client = null; try { //接收客户端的连接 client = server.accept(); InputStreamReader input = new InputStreamReader(client.getInputStream(), "UTF-8"); reader = new BufferedReader(input); OutputStreamWriter output = new OutputStreamWriter(client.getOutputStream(), "UTF-8"); writer = new BufferedWriter(output); //读取客户端发送的数据 StringBuilder data = new StringBuilder(); int c = 0; while ((c = reader.read()) != -1) { if (c != '/0') data.append((char) c); else break; } String info = data.toString(); System.out.println("输入的请求: " + info); //接收到客户端的请求之后，将策略文件发送出去 if(info.indexOf("") >=0) { writer.write(xml + "/0"); writer.flush(); System.out.println("将安全策略文件发送至: " + client.getInetAddress()); } else { writer.write("请求无法识别/0"); writer.flush(); System.out.println("请求无法识别: "+client.getInetAddress()); } client.close(); } catch (Exception e) { e.printStackTrace(); try { //发现异常关闭连接 if (client != null) { client.close(); client = null; } } catch (IOException ex) { ex.printStackTrace(); } finally { //调用垃圾收集方法 System.gc(); } } } } //测试主函数 public static void main(String[] args) { new SecurityXMLServer(); }