如果要在其他服务器上使用内容,该服务器需要托管允许访问的crossdomain.xml文件。如果此文件不存在,则Flash不允许您访问它。鉴于只需编写一个代理(比如一个卷曲外部URL的PHP脚本)就足够了,这个限制的目的是什么?看起来内容仍然100%可供外部人员使用,但只有一个额外的环节可以跳过。我错过了什么?
答案 0 :(得分:2)
如果Flash在没有首先请求许可的情况下完成了请求,那么就可以执行所谓的Cross site request forgery。
它基本上意味着由于请求来自您的计算机,因此它将随附您的 Cookie。所以通过访问一个已知的网址,比如gmail,我可以假装是你。因为它完全隐藏在.swf中,你永远不会知道发生了什么。
但是,如果请求通过另一台服务器上的代理(通常是托管swf的同一台服务器),那么这些cookie都不会出现,而且一切都很好而且安全。
答案 1 :(得分:0)
引入了crossdomain.xml以防止Cross-site request forgery和DNS rebinding attack等攻击。