跨域访问机制和应用程序域
2014-04-28 16:33
246 查看
跨域访问机制
跨域访问机制:在服务器上,同一个域中的文件,数据或者swf可以任意访问。若要跨域访问需被授权。注意不同域名即使映射到相同IP地址也会被看成两个域。IP地址名和通过解析的地址也被看作两个域。有两种授权方式:策略文件和作者授权。
策略文件:
策略文件声明某个域中的文件可以被指定域访问。策略适用于所有形式的访问。是个xml文件,格式如:
<cross-domain-policy>
<allow-access-from domain=www.someSide.com secure=false/>
<allow-access-from domain="*"/>
</cross-domain-policy>
策略文件中可以使用通配符。使用*通配符表示能被所有网站访问。secure用于https协议与http互相访问。false表示允许互相访问。
默认策略文件:
默认策略文件放在网站根目录下面名字必须为crossdomain.xml。
加载策略文件:
若觉得默认策略文件给服务器维护造成影响。可放到子域中,用System.security.loadPolicyFile(url)来加载。
策略文件类型:
策略文件分为页面策略文件和套接字策略文件。套接字策略文件需要指定端口,如:
<cross-domain-policy>
<allow-access-from domain="*" to-ports="507" />
<allow-access-from domain="*.example.com" to-ports="507,516" />
<allow-access-from domain="*.example2.com" to-ports="516-523" />
<allow-access-from domain="www.example2.com" to-ports="507,516-523" />
<allow-access-from domain="www.example3.com" to-ports="*" />
</cross-domain-policy>
由于flashPlayer只检测套接字策略文件相同端口上的策略文件,而策略文件一般放入服务器中采用http访问,这时只能使用默认策略文件并且使用Security.loadPolicyFile来加载,如:
Security.loadPolicyFile("http://socketServerHost.com/crossdomain.xml")
作者授权:
有时候只想开放某个swf文件而不是整个域中的数据,作者可以使用Security.allowDomain在swf中授权。作者授权但并不代表互相通信。除非互相授权。
Security类
Security类基于Object,使用import flash.system.Security声名,Security类是个静态类,用于处理安全访问。
属性:
Security.sandBoxType:String
安全沙箱类型。使用它的静态常量表示。对应上述的4中沙箱类型:
Security.REMOTE,Security.LOCAL_WITH_FILE,Security.LOCAL_WITH_NETWORK,Security.LOCAL_TRUSTED
Security.exactSetting:Boolean
是否精确匹配域,默认为true。精确匹配指不忽略域名中的机器名,如www.flash.com与john.flash.com被看作不同的域。
方法:
Security.allowDomain(…domains):void
在swf中允许指定域访问。多个参数表示多个域,如Security.allowDomain(www.adobe.com,”http://www.macromedia.com/”,”http://www.flash.com/”);
Security.allowInsecureDomain(…domains):void
允许https协议的域访问。
Security.loadPolicyFile( url:String):void
加载策略文件。当不使用默认策略文件时需要加载。
Security.showSettings():void
显示安全设置面板。
应用程序域:
允许跨域加载swf后,还可能出现加载的swf中的类与主类相同而产生冲突。为此安全模型把加载的swf类用应用程序域划分。安全域为树形结构。加载的应用程序域可以是文档类应用程序域的子域。文档类的父级安全域为系统安全域。系统安全域包含所有flashPlayer类。为了为我们提供灵活的访问性,as3允许指定载入swf的位置是任何应用程序域。加入子集应用程序域的文件能够直接访问父级应用程序域。但父级必须使用getDefinition方法访问子集应用程序域。加入到文档类应用程序域的文件父级和子集可以直接访问但可能会产生同名冲突。加载到系统应用程序域则被自动划分,必须都使用getDefinition方法互相访问。
ApplicationDomain类
ApplicationDomain基于Object类,使用import flash.system.Application声明。表示应用程序域。
属性:
currentDomain:ApplicationDomain
当前应用程序域。
parentDomain:ApplicationDomain
父级应用程序域。
方法:
getDefinition(name:String):Object
从通过名称从应用程序域中获取类,命名空间或函数。
hasDefinition(name:String):Object
指定名称的定义在应用程序域中是否存在。
相关文章推荐
- 【2012Esri中国用户大会讲座】ArcGIS 10.1 for Server 安全机制(3)跨域访问限制
- 跨域访问机制
- 跨域访问机制
- 深入浅出jsonp(跨域访问机制)
- 用P3P header解决IE下iframe跨域访问时候session丢失的问题
- 运用jQuery的ajax方法实现跨域访问
- 解析.NET对象的跨应用程序域访问(下篇)
- asp.net cookie跨域访问设置
- 跨域访问:jquery ajax jsonp的实现方法(jsp和action方式)
- 论java之反射机制,访问类中私有变量,调用私有方法
- 解析.NET对象的跨应用程序域访问(下篇)
- Nginx 手记(七)跨域访问与防盗链
- 解析.NET对象的跨应用程序域访问(下篇)
- 黄聪: Javascript跨域访问解决方案
- 一个getjson()方式调用实例【前后台】,适于跨域访问。
- JSP嵌入FLEX SWF文件出现安全水箱,跨域访问的问题解决方案
- 用P3P header解决iframe跨域访问cookie
- 同源策略和跨域访问
- Unity3D教程:关于跨域访问的处理