Warning: file_get_contents(/data/phpspider/zhask/data//catemap/3/flash/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security Flash跨域是否无用?_Security_Flash_Cross Domain_Flv - Fatal编程技术网
Fatal编程技术网
  • security/
  • Security Flash跨域是否无用?

Security Flash跨域是否无用?

security flash

Security Flash跨域是否无用?,security,flash,cross-domain,flv,Security,Flash,Cross Domain,Flv,我正在尝试播放远程服务器“crossdomain.xml”上的FLV文件,该文件在进程中不存在,有3种方式: 使用某个服务器上的SWF播放器从浏览器中 从VLC,指向远程文件。 下载远程文件和swf播放器-在本地播放 你猜怎么着 没有播放flv 玩得很有魅力 玩得很有魅力 结论:Flash的跨域安全性是无用的 请告诉我哪里错了,或者我只是在帮助别人理解这种安全性是无用的。crossdomain.xml是Flash player插件的安全措施。FLV本身不是安全风险,玩家才是。在实例2中,您没有使

我正在尝试播放远程服务器“crossdomain.xml”上的FLV文件,该文件在进程中不存在,有3种方式:

使用某个服务器上的SWF播放器从浏览器中 从VLC,指向远程文件。 下载远程文件和swf播放器-在本地播放 你猜怎么着

没有播放flv 玩得很有魅力 玩得很有魅力 结论:Flash的跨域安全性是无用的

请告诉我哪里错了,或者我只是在帮助别人理解这种安全性是无用的。

crossdomain.xml是Flash player插件的安全措施。FLV本身不是安全风险,玩家才是。在实例2中,您没有使用Flash播放器。实例3,它使用与Flash在其IDE中使用的相同的安全性来允许调试。实例1完全按照预期工作

crossdomain.xml并不意味着是一种DRM类型的安全性,也不允许下载文件。这意味着不允许非预期域从另一台服务器使用FLV/F4V,这就是所谓的跨站点脚本。

crossdomain.xml是Flash player插件的安全措施。FLV本身不是安全风险,玩家才是。在实例2中,您没有使用Flash播放器。实例3,它使用与Flash在其IDE中使用的相同的安全性来允许调试。实例1完全按照预期工作

crossdomain.xml并不意味着是一种DRM类型的安全性,也不允许下载文件。这意味着不允许非预期域从另一台服务器使用FLV/F4V,这就是所谓的跨站点脚本。

我不打算写我自己的答案,因为我觉得@jpea已经写了最重要的东西。但crossdomain.xml文件的概念和用途似乎还不清楚。这就是:

不是指从其他服务器访问媒体内容,而是指大约80%的互联网安全违规行为所使用的攻击方法。它可以以许多不同的方式发生,但总是涉及到将外来代码注入到网页或插件内容中,以使客户机以一种非预期的方式运行。这可能会导致以后对服务器的攻击,但最初的问题总是与客户端的漏洞有关

跨域策略文件是所谓的Flash实现,是防止跨站点脚本编写的重要部分。本质上,它是为了确保SWF加载的任何内容必须位于同一域内,而不是与原始内容位于同一服务器上

这在实践中意味着什么?这意味着,例如,不允许攻击者将原始SWF加载到托管在不同服务器上的不可见封闭SWF中,监视所有传入和传出流量,或捕获键盘事件,窃取密码等:违反跨域策略将导致安全错误,停止所有ActionScript的执行

然而,它并没有阻止FLV文件以其他方式播放——这绝对不是它的本意

诚然,有或多或少简单的方法可以绕过跨域策略文件,例如通过使用代理来传递SWFs URL请求,因此使用它们不会带来真正的安全性。但作为多级安全策略的一部分,它们确实有助于提高攻击者的门槛

我不打算写我自己的答案,因为我觉得@jpea已经写了最重要的东西。但crossdomain.xml文件的概念和用途似乎还不清楚。这就是:

不是指从其他服务器访问媒体内容,而是指大约80%的互联网安全违规行为所使用的攻击方法。它可以以许多不同的方式发生,但总是涉及到将外来代码注入到网页或插件内容中,以使客户机以一种非预期的方式运行。这可能会导致以后对服务器的攻击,但最初的问题总是与客户端的漏洞有关

跨域策略文件是所谓的Flash实现,是防止跨站点脚本编写的重要部分。本质上,它是为了确保SWF加载的任何内容必须位于同一域内,而不是与原始内容位于同一服务器上

这在实践中意味着什么?这意味着,例如,不允许攻击者将原始SWF加载到托管在不同服务器上的不可见封闭SWF中,监视所有传入和传出流量,或捕获键盘事件,窃取密码等:违反跨域策略将导致安全错误,停止所有ActionScript的执行

然而,它并没有阻止FLV文件以其他方式播放——这绝对不是它的本意

诚然,有多少简单的方法可以解决这个问题 绕过跨域策略文件,例如使用代理来传递SWFSURL请求,因此使用它们不会带来真正的安全性。但作为多级安全策略的一部分,它们确实有助于提高攻击者的门槛

+1,但要补充一点:它是为了防止跨站点脚本编写,而不是作为DRM机制。但关键是,如果FLV可以使用不同的客户端(而不是flash客户端)从任何服务器访问和下载。没有任何东西可以保护服务器不受攻击客户端上存在的保护服务器的任何保护都让我想知道…+1,但需要补充一点:它是为了防止跨站点脚本,而不是作为DRM机制。但是,如果FLV可以使用不同的客户端(而不是flash客户端)从任何服务器访问和下载的话。没有任何东西可以保护服务器不受攻击客户端上存在的保护服务器的任何保护都让我想知道…很好的解释。谢谢现在的问题是,如果SWF是一种工具,就像一个玩家,我想允许免费使用它。没有密码保护。现在,每个用户都必须编写跨域xmld,并将它们放在播放器希望播放的源视频所在的每个位置。为什么不引入一个内部flash功能,让它进入Adobe或“任何服务器”来检查执行源?比请求每个content server托管XML要容易得多!我理解你的不适,但那意味着各种其他的不适,让Adobe负责地球上任何地方的任何flash内容所进行的任何和所有外部加载的安全。Adobe让您控制您的内容将加载或将无法加载的内容-我认为这是一个合理的解决方案。我还认为他们本可以更好地解释如何正确操作。关于crossdomain.xml文件的文档编制是一件痛苦的事情,而且事情往往没有按预期的那样进行。我完全理解你为什么生气。很好的解释。谢谢现在的问题是,如果SWF是一种工具,就像一个玩家,我想允许免费使用它。没有密码保护。现在,每个用户都必须编写跨域xmld,并将它们放在播放器希望播放的源视频所在的每个位置。为什么不引入一个内部flash功能,让它进入Adobe或“任何服务器”来检查执行源?比请求每个content server托管XML要容易得多!我理解你的不适,但那意味着各种其他的不适,让Adobe负责地球上任何地方的任何flash内容所进行的任何和所有外部加载的安全。Adobe让您控制您的内容将加载或将无法加载的内容-我认为这是一个合理的解决方案。我还认为他们本可以更好地解释如何正确操作。关于crossdomain.xml文件的文档编制是一件痛苦的事情,而且事情往往没有按预期的那样进行。我完全理解你为什么生气。