Flex Socket安全策略<policy-file-request/>及应对方法
2011-08-25 17:20
656 查看
在 Adobe Flash Player 升级到 9.0.124 后,由于安全策略更改,原来 Socket 或 XmlSocket 的应用里的 http 方式加载安全策略的手段不能继续使用。更改如下:
1, 首先检测目标服务器的 843 端口是否提供安全策略
2, 如果 1 没有检测到策略,则检测 actionscript 是否使用了 Security.loadPolicyFile(xmlsocket://)手段提供安全策略,如果还没检测到,则使用第 3 步检测
3, 检测目标服务器目标端口是否提供安全策略。
在说具体处理方式前,我先描述一下 Flash Player 的验证过程。在 Flex 程序发出 Socket 或 XmlSocket( 以下统称为 Socket) 请求前, FlashPlayer 会先判断是否为本地调用,如果不是。即用一个 Socket 去链接到你的服务端,三次握手成功后一方面发出字符串“ <policy-file-request/>\0 “另一方面监听返回的安全策略。安全策略接收成功后, FlashPlayer 就断开验证的 Socket ,然后再运行程序本身的 Socket 。在整个 SWF
运行期间,无论你请求多少次,只要域相同, FlashPlayer 就只验证一次。这里有两个重点:
第一个是验证的 Socket 和程序的 Socket 是两个 Socket 。所以你在本地测试时,服务端监听到 N 个 Socket 请求,但布置到服务端后,服务端会监听到 N+1 个请求。
第二是验证的 Socket 发送“ <policy-file-request/>\0 “请求和接收你的策略文件是没有先后关系的,所以你没必要接收完“ <policy-file-request/>\0 “后才发策略文件。我的做法是只要监听到请求,就把策略字符串发过去。
在Java中,我处理的方法是独立启动一个843端口的服务专门监听授权请求,这样客户端响应速度很快,代码片段如下:
String xml = "<?xml version=\"1.0\"?><cross-domain-policy><site-control permitted-cross-domain-policies=\"all\"/><allow-access-from domain=\"*\" to-ports=\"*\"/></cross-domain-policy>\0";
Socket socket=serverSocket.accept();
BufferedReader br = new BufferedReader(new InputStreamReader(socket
.getInputStream(), "UTF-8"));
PrintWriter pw = new PrintWriter(socket.getOutputStream());
char[] by = new char[22];
br.read(by, 0, 22);
String s = new String(by);
System.out.println("s="+s);
if (s.equals("<policy-file-request/>")) {
System.out.println("接收policy-file-request");
pw.print(xml);
pw.flush();
br.close();
pw.close();
socket.close();
}
另外,一定要注意 xml 字符串后面的 ”\0” ,因为 Flash Player 是用他来做分隔符的,如果你不加上,客户端验证 socket 可能就一直等待。另外授权接收的socket一定要断开。
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.PrintWriter;
import java.net.ServerSocket;
import java.net.Socket;
public class SocketServer843 {
public SocketServer843(){
}
public static void main(String[]args)throws IOException{
ServerSocket serverSocket=new ServerSocket(843);
while(true){
System.out.println("843端口开始监听socket");
String xml = "<?xml version=\"1.0\"?><cross-domain-policy><site-control permitted-cross-domain-policies=\"all\"/><allow-access-from domain=\"*\" to-ports=\"*\"/></cross-domain-policy>\0";
Socket socket=serverSocket.accept();
BufferedReader br = new BufferedReader(new InputStreamReader(socket
.getInputStream(), "UTF-8"));
PrintWriter pw = new PrintWriter(socket.getOutputStream());
char[] by = new char[22];
br.read(by, 0, 22);
String s = new String(by);
System.out.println("s="+s);
if (s.equals("<policy-file-request/>")) {
System.out.println("接收policy-file-request");
pw.print(xml);
pw.flush();
br.close();
pw.close();
socket.close();
}
}
}
}
from:http://hi.baidu.com/dobodo/blog/item/b1614aea02efe8dfd439c967.html
1, 首先检测目标服务器的 843 端口是否提供安全策略
2, 如果 1 没有检测到策略,则检测 actionscript 是否使用了 Security.loadPolicyFile(xmlsocket://)手段提供安全策略,如果还没检测到,则使用第 3 步检测
3, 检测目标服务器目标端口是否提供安全策略。
在说具体处理方式前,我先描述一下 Flash Player 的验证过程。在 Flex 程序发出 Socket 或 XmlSocket( 以下统称为 Socket) 请求前, FlashPlayer 会先判断是否为本地调用,如果不是。即用一个 Socket 去链接到你的服务端,三次握手成功后一方面发出字符串“ <policy-file-request/>\0 “另一方面监听返回的安全策略。安全策略接收成功后, FlashPlayer 就断开验证的 Socket ,然后再运行程序本身的 Socket 。在整个 SWF
运行期间,无论你请求多少次,只要域相同, FlashPlayer 就只验证一次。这里有两个重点:
第一个是验证的 Socket 和程序的 Socket 是两个 Socket 。所以你在本地测试时,服务端监听到 N 个 Socket 请求,但布置到服务端后,服务端会监听到 N+1 个请求。
第二是验证的 Socket 发送“ <policy-file-request/>\0 “请求和接收你的策略文件是没有先后关系的,所以你没必要接收完“ <policy-file-request/>\0 “后才发策略文件。我的做法是只要监听到请求,就把策略字符串发过去。
在Java中,我处理的方法是独立启动一个843端口的服务专门监听授权请求,这样客户端响应速度很快,代码片段如下:
String xml = "<?xml version=\"1.0\"?><cross-domain-policy><site-control permitted-cross-domain-policies=\"all\"/><allow-access-from domain=\"*\" to-ports=\"*\"/></cross-domain-policy>\0";
Socket socket=serverSocket.accept();
BufferedReader br = new BufferedReader(new InputStreamReader(socket
.getInputStream(), "UTF-8"));
PrintWriter pw = new PrintWriter(socket.getOutputStream());
char[] by = new char[22];
br.read(by, 0, 22);
String s = new String(by);
System.out.println("s="+s);
if (s.equals("<policy-file-request/>")) {
System.out.println("接收policy-file-request");
pw.print(xml);
pw.flush();
br.close();
pw.close();
socket.close();
}
另外,一定要注意 xml 字符串后面的 ”\0” ,因为 Flash Player 是用他来做分隔符的,如果你不加上,客户端验证 socket 可能就一直等待。另外授权接收的socket一定要断开。
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.PrintWriter;
import java.net.ServerSocket;
import java.net.Socket;
public class SocketServer843 {
public SocketServer843(){
}
public static void main(String[]args)throws IOException{
ServerSocket serverSocket=new ServerSocket(843);
while(true){
System.out.println("843端口开始监听socket");
String xml = "<?xml version=\"1.0\"?><cross-domain-policy><site-control permitted-cross-domain-policies=\"all\"/><allow-access-from domain=\"*\" to-ports=\"*\"/></cross-domain-policy>\0";
Socket socket=serverSocket.accept();
BufferedReader br = new BufferedReader(new InputStreamReader(socket
.getInputStream(), "UTF-8"));
PrintWriter pw = new PrintWriter(socket.getOutputStream());
char[] by = new char[22];
br.read(by, 0, 22);
String s = new String(by);
System.out.println("s="+s);
if (s.equals("<policy-file-request/>")) {
System.out.println("接收policy-file-request");
pw.print(xml);
pw.flush();
br.close();
pw.close();
socket.close();
}
}
}
}
from:http://hi.baidu.com/dobodo/blog/item/b1614aea02efe8dfd439c967.html
相关文章推荐
- Flex Socket安全策略<policy-file-request/>及应对方法
- Flex Socket安全策略<policy-file-request/>及应对方法
- Flex Socket安全策略<policy-file-request/>及应对方法
- Qt4项目迁移Qt5项目一问题解决方法:#include <QtGui/QApplication> ---> No such file or directory
- 关于JSP中单击任意标签弹出文件选择框(<input type="file"/>)的实现方法
- 看到某tool,使用方法是./geniatagger -nt < IN file > OUT file, 需要注意
- MVC 下 JsonResult 的使用方法(JsonRequestBehavior.AllowGet)<转>
- 关于64位CentOS上ptrace报<linux/user.h> no such file 错误的解决方法
- JSP引入文件的<%@ include file="FourthJsp.jsp" %>方法阐述
- Spring之Email<封装了常用的四种发送Email的方法(TEXT,HTML,IMG,FILE)>
- <input type="file" name="filePath" />最简单的解决方法
- TTPRequest 提示#import <libxml/HTMLparser.h>找不到 的解决方法
- #import </usr/include/objc/objc-class.h> not such file or directory问题的解决方法
- VM8.0下安装遇到了问题“windows cannot read the<product key> setting from the unattend answer file”解决方法
- js中获取 <%=request.getContextPath()%>
- <%@ include file="" %>和<jsp:include page="" />的区别
- List<T> Contains方法实现
- JQuery的html(data)方法与<script>脚本块的解决方法
- oracle form builder <BEA-141281> <unable to get file lock, will retry ...>
- C#中Queue<T>类的使用以及部分方法的源码分析