Kann jemand ein wohlgeformtes Beispiel für crossdomain.xml posten?

80

Ich habe gelesen, dass Adobe crossdomain.xml in Flash 9-10 strenger gemacht hat, und ich frage mich, ob mir jemand eine Kopie von einer einfügen kann, von der er weiß, dass sie funktioniert. Probleme beim Auffinden eines aktuellen Beispiels auf der Adobe-Website.

flash crossdomain.xml

— CloudMeta
quelle

Dies mag gefährlich offensichtlich erscheinen, aber als Flash-Entwickler mit 10 Jahren Erfahrung kann ich Ihnen sagen, dass jede Richtliniendatei, die ich jemals implementiert habe, nicht einmal so getan hat, als würde sie funktionieren ... bis heute. Es stellt sich heraus, dass Sie die Richtliniendatei tatsächlich selbst laden müssen. In den Dokumenten klingt es so, als würde Flash automatisch nach crossdomain.xml-Dateien suchen, bevor ein SecuritySandbox-Fehler auftritt. Wenn Sie also Probleme haben, stellen Sie sicher, dass Sie die Richtliniendatei

— laden

103

Folgendes habe ich für die Entwicklung verwendet:

<?xml version="1.0" ?>
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>

Dies ist ein sehr liberaler Ansatz, aber für meine Bewerbung in Ordnung.

Achten Sie, wie andere weiter unten ausgeführt haben, auf die damit verbundenen Risiken.

— Mitch Haile
quelle

30

Dies funktioniert in gewissem Sinne, aber bitte beachten Sie die Risiken: Dies bedeutet, dass jede Website im Namen des Benutzers Anfragen, Cookies und alles an Ihre Website senden und die Antwort ohne Probleme lesen kann. Für die meisten Web-Apps ist dies eine große Sicherheitslücke. Während dieser Ansatz seinen Platz hat, kennen Sie bitte die Risiken und gehen Sie bei Bedarf strikt auf die Whitelist (was fast immer für Produktions-Apps gilt).

— Matchu

3

Sie nicht diese außerhalb Entwicklung verwenden. Dies entspricht genau dem Beispiel einer "schlecht konfigurierten crossdomain.xml" aus dem gehärteten PHP-Projekt .

— Greg K

2

Wenn Sie die Datei selbst

— bereitstellen

Es gibt einen (und nur einen) Umstand, unter dem dies in einer Produktionsumgebung akzeptabel wäre: Wenn Sie es in einer Domäne installieren, die nur statische Dateien für die Verwendung von Anwendungen in anderen Domänen bereitstellt. Beispiel: Sie haben eine Subdomain "images.mydomain.com", die alle Bilder Ihrer Site (vermutlich unter Verwendung einer Art CDN) und sonst nichts bereitstellt .

— Periata Breatta

34

Wenn Sie Webservices verwenden, benötigen Sie außerdem das Element 'allow-http-request-headers-from'. Hier ist unsere Standardrichtlinie für die Entwicklung "Alles zulassen".

<?xml version="1.0" ?>
<cross-domain-policy>
  <site-control permitted-cross-domain-policies="master-only"/>
  <allow-access-from domain="*"/>
  <allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>

— Die Hose
quelle

22

Vielleicht sollten Sie erwähnen, ob / wie dies gefährlich sein könnte?

— Philfreo

Wo diese XML-Datei zu speichern

— Sajitha Rathnayake

Ich verwende immer das Schema von Adobe. Hier ist ein Beispiel für eine lose: http://stackoverflow.com/a/26433744/257319

Speichern Sie auf der Domain-Ebene, die Sie beeinflussen möchten. z.B. example.com/crossdomain.xml

— iedoc

30

Schauen Sie sich Twitter an:

http://twitter.com/crossdomain.xml

<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://www.adobe.com/xml/schemas/PolicyFile.xsd">
    <allow-access-from domain="twitter.com" />
    <allow-access-from domain="api.twitter.com" />
    <allow-access-from domain="search.twitter.com" />
    <allow-access-from domain="static.twitter.com" />
    <site-control permitted-cross-domain-policies="master-only"/>
    <allow-http-request-headers-from domain="*.twitter.com" headers="*" secure="true"/>
</cross-domain-policy>

— Zhami
quelle

1

oder adobe.com/crossdomain.xml oder github.com/crossdomain.xml oder twitter.com/crossdomain.xml oder facebook.com/crossdomain.xml oder google.com/crossdomain.xml oder bing.com/crossdomain.xml oder medium .com / crossdomain.xml oder developer.google.com/crossdomain.xml

— Null

9

In der Produktionsstätte scheint dies geeignet:

<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="www.mysite.com" />
<allow-access-from domain="mysite.com" />
</cross-domain-policy>

— trante
quelle

5

Eine Version von crossdomain.xml wurde früher mit dem HTML5 Boilerplate verpackt, das das Produkt langjähriger iterativer Entwicklung und kombinierten Community-Wissens ist. Es wurde jedoch inzwischen aus dem Repository gelöscht. Ich habe es hier wörtlich kopiert und einen Link zum Commit eingefügt, wo es unten gelöscht wurde.

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
  <!-- Read this: https://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html -->

  <!-- Most restrictive policy: -->
  <site-control permitted-cross-domain-policies="none"/>

  <!-- Least restrictive policy: -->
  <!--
  <site-control permitted-cross-domain-policies="all"/>
  <allow-access-from domain="*" to-ports="*" secure="false"/>
  <allow-http-request-headers-from domain="*" headers="*" secure="false"/>
  -->
</cross-domain-policy>

Gelöscht in # 1881
https://github.com/h5bp/html5-boilerplate/commit/58a2ba81d250301e7b5e3da28ae4c1b42d91b2c2

— ThisClark
quelle