[转]FlashSocket通信安全策略一点心得
flash调试没问题放到html中就不可以了,没想到在crossdomain上耗了这么久...看来还是自己道行浅,要多多学习啊
http://www.flashas.net/html/flashas/flashheWEBchengxuyingyong/20080824/3600.html
1、问题描述
将flash发布为html格式后,加载页面后,swf无法与服务器进行socket通信。Flash端显示的错误为:
securityErrorHandler信息: [SecurityErrorEvent type="securityError" bubbles=false cancelable=false eventPhase=2 text="Error #2048"]
在服务器端显示的信息是由客户端尝试进行连接,但是无法接受数据。接受的数据显示为空。
2.问题原因:
最新的Flash player 9.0.124.0,当flash文件要进行socket通信的时候,需要向服务器端获取crossdomain.xml文件。如果找不到就出现客户端无法连接服务器的现象。
了解flash发起socket通信的三个过程
当封装在页面的flash发起socket通信请求的时候会先寻找服务器端的843端口,获取Crossdomain.xml文件,当服务器没有开启 843的时候,flashPlayer会检查发起请求的swf文件中中有没有使用Security.loadPolicyFile来加载策略文件 Crossdomain.xml,如果还是没有就会看这个发起请求的swf要连接的目标端口有没有策略文件。如果都没有那么连接失败,返回如上的出错提 示。
为什么老版本的Flash player没有这个问题?
从一些官方的一些资料中了解了一下。以前的Flash Player无论你采用urlRequest的http请求方式或者xmlsocket socket方式,他们都共用一个安全策略文件。这个策略文件只要你放在主域的目录下就行了。而现在不行了,现在的策略文件如果你使用http请求方式那 么需要把策略文件放在目录下面,如果你使用socket请求方式就必须通过socket端口来接收这个策略文件。
对应调用的方式为:
http请求——》Security.loadPolicyFile(“http://www.xxx.com/crossdomain.xml”)
socket或xmlsocket请求——》Security.loadPolicyFile(“xmlsocket://www.xxx.com:port”)
怎么将Socke策略文件发给Flash Player
Flash Player在你的socket.connect("domain",port)运行之前,会按照前面描述的三个过程向你的socket服务器的843端 口(据说Adobe已经向相关管理机构申请保留843端口给Flash Player用)发送一个字符串 "<policy-file-request/>",这个时候如果你有一个服务在监听843端口那么收到这个字符串之后,直接按照XML格式 发回策略文件就解决了。(注意发回的时候记得加一个截止字符"\0")
当然你也可以不用843端口自己设置一个端口。因为Flash Player如果在843端口得不到信息,就会检查你是否在你的Flash文件里面自己添加了指定的获取通道,你可以定义一个自己的端口。不过这个时候你 不能用http方式,而要用xmlsocket方式。(相当于自动帮你新建了一个xmlsocket对象,然后链接你指定的主机和端口)。比如你想用 1234端口可以在你的Flash里面加这一句 Security.loadPolicyFile(“xmlsocket://www.xxx.com:1234”),需要注意的是这一句要加在你的 socket.connect前面。
还有最后一个办法,就是在你的socket连接端口监听这个请求。比如你用的是 socket.connect("192.168.1.100",8888),那么在你的服务器加一段接收字符串"<policy-file- request/>"的代码,当接到这个字符串时将策略文家按照xml格式发到客户端。
关于策略文件的格式(可以在Flash CS3帮助里面的Flash Player安全性——》控制权限概述中找到)
1、针对web应用的策略文件
下面的示例显示了一个策略文件,该文件允许访问源自 *.iflashigame.com 和 192.0.34.166 的 SWF 文件。
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*.iflashigame.com" />
<allow-access-from domain="192.0.34.166" />
</cross-domain-policy>
注意事项:
默认情况下,策略文件必须命名为 crossdomain.xml,并且必须位于服务器的根目录中。但是,SWF 文件可以通过调用 Security.loadPolicyFile() 方法检查是否为其它名称或位于其它目录中。跨域策略文件仅适用于从其中加载该文件的目录及其子目录。因此,根目录中的策略文件适用于整个服务器,但是从任 意子目录加载的策略文件仅适用于该目录及其子目录。
策略文件仅影响对其所在特定服务器的访问。例如,位于 https://www.adobe.com:8080/crossdomain.xml 的策略文件只适用于在端口 8080 通过 HTTPS 对 www.adobe.com 进行的数据加载调用。
2、针对Socket的策略文件
<cross-domain-policy>
<allow-access-from domain="*" to-ports="507" />
<allow-access-from domain="*.example.com" to-ports="507,516" />
<allow-access-from domain="*.example2.com" to-ports="516-523" />
<allow-access-from domain="www.example2.com" to-ports="507,516-523" />
<allow-access-from domain="www.example3.com" to-ports="*" />
</cross-domain-policy>
这个策略文件是指定允许哪些域的主机通过那些端口链接。
参考文章
flash xmlsocket policy 问题
Policy file changes in Flash Player 9
Setting up a socket policy file server
Understanding Flash Player 9 April 2008 Security Update compatibility
获取策略文件的Java服务器端代码
import java.io.BufferedReader;
import java.io.BufferedWriter;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.OutputStreamWriter;
import java.net.ServerSocket;
import java.net.Socket;
public class SecurityXMLServer implements Runnable {
private ServerSocket server;
private BufferedReader reader;
private BufferedWriter writer;
private String xml;
public SecurityXMLServer()
{
String path = "policyfile文件路径";
//此处的换成相应的读取xml文档的方式如dom或sax
//xml = readFile(path, "UTF-8");
/**
注意此处xml文件的内容,为纯字符串,没有xml文档的版本号
*/
xml="<cross-domain-policy> "
+"<allow-access-from domain=\"*\" to-ports=\"1025-9999\"/>"
+"</cross-domain-policy> ";
System.out.println("policyfile文件路径: " + path);
System.out.println(xml);
//启动843端口
createServerSocket(843);
new Thread(this).start();
}
//启动服务器
private void createServerSocket(int port)
{
try {
server = new ServerSocket(port);
System.out.println("服务监听端口:" + port);
} catch (IOException e) {
System.exit(1);
}
}
//启动服务器线程
public void run()
{
while (true) {
Socket client = null;
try {
//接收客户端的连接
client = server.accept();
InputStreamReader input = new InputStreamReader(client.getInputStream(), "UTF-8");
reader = new BufferedReader(input);
OutputStreamWriter output = new OutputStreamWriter(client.getOutputStream(), "UTF-8");
writer = new BufferedWriter(output);
//读取客户端发送的数据
StringBuilder data = new StringBuilder();
int c = 0;
while ((c = reader.read()) != -1)
{
if (c != '\0')
data.append((char) c);
else
break;
}
String info = data.toString();
System.out.println("输入的请求: " + info);
//接收到客户端的请求之后,将策略文件发送出去
if(info.indexOf("<policy-file-request/>") >=0)
{
writer.write(xml + "\0");
writer.flush();
System.out.println("将安全策略文件发送至: " + client.getInetAddress());
}
else
{
writer.write("请求无法识别\0");
writer.flush();
System.out.println("请求无法识别: "+client.getInetAddress());
}
client.close();
} catch (Exception e) {
e.printStackTrace();
try {
//发现异常关闭连接
if (client != null) {
client.close();
client = null;
}
} catch (IOException ex) {
ex.printStackTrace();
} finally {
//调用垃圾收集方法
System.gc();
}
}
}
}
//测试主函数
public static void main(String[] args)
{
new SecurityXMLServer();
}
}
转载于:https://www.cnblogs.com/sun11086/archive/2009/07/16/1525038.html
[转]FlashSocket通信安全策略一点心得相关推荐
- linux下串口通信程序,关于Linux下串口通信的一点心得
1. 打开串口 与其他的关于设备编程的方法一样,在 Linux 下,操作.控制串口也是通过操作起设备文件进行的.在 Linux 下,串口的设备文件是 /dev/ttyS0 或 /dev/ttyS1 等 ...
- python anaconda安装redis_python与redis的初次碰撞——把玩redis数据库的一点心得
Redis是最近几年NoSQL(非关系型数据库)中最异军突起的一位了,在很多大小公司的业务中起了很大的作用.Redis是键值形式的存储系统,跟mongodb的存储方式有些类似(感觉NoSQL似乎都有这 ...
- 新手网站推广邮件群发一点心得
关于邮件群发一点心得 请勿见笑,本人新人啊.新人做法还是比较菜的.说一下邮件群发吧.最近本人下软件不下百次.病毒木马电脑已经是满满一箩筐了,幸好是虚拟机里. 首先收集相关邮件地址这里转一篇文章 营销如 ...
- 谈谈选用技术的原则,技术学习方法技巧,阅读代码的技巧及其它 MSF的一点心得...
谈谈技术原则,技术学习方法,代码阅读及其它(正文) 这篇文章是前一阵在水木BBS上和别人讨论中偶自己发言的摘编,是偶这几年开发过程完全经验式的总结.完全个人经验,供批判. 一.选用技术的原则 比较规范 ...
- mysql数据库管理系统模式_MYSQL命令行模式管理MySql的一点心得
MYSQL命令行模式管理MySql的一点心得 MYSQL命令行模式管理MySql的一点心得 MySql数据库是中小型网站后台数据库的首选,因为它对非商业应用是免费的.网站开发者可以搭建一个" ...
- 将asp.net1.1的应用程序升级到asp.net2.0的一点心得
将asp.net1.1的应用程序升级到asp.net2.0的一点心得 费了好一袋烟工夫把CommunityServer升级到了Asp.Net2.0平台,一点心得: vs2005可以很方便的帮我们把vs ...
- 使用Webbrowser的一点心得体会
使用Webbrowser的一点心得体会 原文:使用Webbrowser的一点心得体会 自从用上VS2005后,发现多了个WebBrowser控件(.net 2003中不带),为图方便吧,有好多小工具就 ...
- 关于MySQL存储过程异常处理的一点心得
关于MySQL存储过程异常处理的一点心得 参考文章: (1)关于MySQL存储过程异常处理的一点心得 (2)https://www.cnblogs.com/lrl45/p/6037513.html ( ...
- 做互联网产品运营的一点心得
一个网站运营团队大致粗略地可分成三个部门:产品部.设计部和技术部,产品部为核心,设计部和技术部为支撑,如果网站产品较多比如有资讯内容.论坛.博客.SNS等,那产品部会配备好几个人,每人负责一个产品.在 ...
最新文章
- GreenDao高级用法
- Vue通过eventBut实现组件全局通信
- java面试题总结(二)----java中级面试题 含答案
- 飞鸽传书写每行都认认真真
- linux strace cpu,如何定位死循环或高CPU使用率(linux)
- suse linux修改ftp端口,suse Linux系统下的网络设置(ftp telnet xmanager)
- 处理顶点——自动计算顶点缓冲中所有顶点的法线
- jQuery EasyUI/TopJUI实现数据表格的增删改查功能(不写js,纯HTML实现!!!)
- 微软MediaCreationTool2004.exe免费下载(2020最新)
- 基于OpenMV的图像识别之数字识别
- vimium 快捷键(常用)
- [实战]200类鸟类细粒度图像分类
- linux 实现离线迅雷,Linux下使用wget/aria2进行离线迅雷批量下载
- 关于微信开发者没有上传按钮的问题
- 设置下载安装 桌面_滚动图标——手机图标随着手势滚动,让你的桌面动起来...
- Yocto创建自己的分区(基于STM32MP1)
- 2017杭电ACM集训队单人排位赛 - 2 -1002 地狱飞龙 (辛普森公式求积分)(模板)
- 广东专插本计算机专业好学校,广东专插本42所院校全解析!什么专业好?哪所院校强?这些干货快收藏!...
- dbutilsjar包下载_commons dbutils 下载|
- 论文插图用计算机绘制,科技论文插图的计算机绘制.pdf
热门文章
- row_number() OVER(PARTITION BY)函数
- iOS 在UILabel显示不同的字体和颜色(转)
- Quartz2D简单绘制之不规则形状
- [转]使用Yii CUploadedFile上传文件(图片)
- android studio 以源码形式导入volley作为library,SDK的目录结构
- SDNU 1045.石子合并1(区间dp)
- [BZOJ 2844] albus就是要第一个出场
- 51Nod:活动安排问题之二(贪心)
- IOS开发-通知与消息机制
- 优秀网页设计各种国外站的素材