在crossdomain.xml中使用什么是安全假?

时间:2012-08-06 03:43:45

标签: ruby-on-rails ruby-on-rails-3 amazon-s3 crossdomain.xml

我们正在将文件从HTTP uri方案上传到我们的S3。这意味着,我们的上传器脚本在我们的服务器中。我们使用S3相应地签署表格。我们的crossdomain.xml文件如下所示:

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
  <allow-access-from domain="*" />
</cross-domain-policy>

我应该secure="false"中有allow-access-from吗?例如:

<allow-access-from domain="*" secure="false" />

拥有secure="false"有什么含义?我已阅读thisthis,但不太了解它。

第二,domain=*应该是一个真正的域吗?即我们的域名?那么http://foobar.comhttp://www.foobar.com

1 个答案:

答案 0 :(得分:7)

如果您secure="true"仅允许来自HTTPS的请求,则secure="false"表示允许来自HTTP和HTTPS的请求。

编辑:它仅适用于您运行HTTPS网站的情况。例如。如果http://website1.com请求来自网站https://website2.com的资源(在crossdomain.XML中有secure="true"),则该资源将被拒绝。但是,如果网站2在HTTP而不是HTTPS上运行,那么无论HTTP和HTTPS都是允许的,无论crossdomain.xml中的安全设置如何,都会允许。

http://www.senocular.com/pub/adobe/crossdomain/policyfiles.html#allow-access-from-secure

相关问题
最新问题