yoshiweb.NET

カスタムポリシーファイル crossdomain.xml について

Flash でドメインをまたいで外部ファイルを読み込みたい場合
参照側のサーバー(外部ファイルが置いてある方)に
crossdomain.xmlという名前のXMLが必要らしいです。


XMLの書き方は

全てのドメインのアクセスを許可する(どこからでもOK〜!にする)ときは
以下の記述をしたXML「crossdomain.xml」をルートディレクトリに配置




他の全てのドメインから読み込まれるのを防ぐ(他のドメインは全部ダメー!にする)ときは
crossdomain.xmlファイルを設置しない!
もしくはallow-access-from タグのない crossdomain.xml ファイルをルートディレクトリに配置



crossdomain.xml の各要素の内容




メタポリシー設定
all: すべてのポリシーファイルが許可されます。
by-content-type: Content-Typeがtext/x-cross-domain-policyのすべてのポリシーファイルが許可されます。
by-ftp-filename: FTPサーバにのみ使用できます。
master-only: マスターポリシーファイル( /crossdomain.xmlにあります)のみが許可されます。
none: ポリシーファイルは許可されません。
none-this-response: HTTP応答ヘッダでのみ指定できる特別なメタポリシー。

ドメインの指定の仕方は
・完全なドメイン名 (例:www.example.co.jp )
・IP アドレス (例:65.57.83.12 )
・ワイルドカードを使用したドメイン名 (例:*.example.co.jp )
・完全なワイルドカード:* (アスタリスクひとつ)
※この場合、すべてのドメイン、および IP アドレスからのアクセスが許可される。


例:www.example.co.jp上に設置されたFlashからの、80番ポートへのアクセスを許可する







例:HTTPS サーバーへ、HTTPサーバー上に設置されたFlashからのアクセスを許可する








※ 2008/04 の Flash Player セキュリティアップデートから
HTTP リクエスト送信時にヘッダに属性を追加する場合は、以下のような記述も必要になるそうです。
Adobe - デベロッパーセンター : ドメイン間でヘッダを送信するにはポリシーファイルが必須


例:Basic認証のかかってるサーバーにヘッダをつけてリクエストを送る場合










【基本情報】
Flashヘルプ - ドメイン間のデータロード許可
Flash Player 7 におけるセキュリティの変更について(英語)


【Flash Player9のセキュリティアップデート関連情報】
セキュリティに関するFlash Player 9の変更点
緊急情報:2008年4月に行われるFlash Player9のセキュリティアップデートへの対応のお願い
akihiro kamijo: 来月 (2008/4) の Flash Player セキュリティアップデート
akihiro kamijo: ソケットポリシーファイルと Flash Player セキュリティ

※ 全部許可した場合のリスクは下記のリンク先が参考になりそうです。
crossdomain.xml と CSRF 脆弱性について - 川o・-・)<2nd life<
ここが危ない!Web2.0のセキュリティ:第4回 Flash,JSONでのクロスドメインアクセス|gihyo.jp … 技術評論社
Flashとポリシーファイルの密接なカンケイ − @IT

クロスドメインポリシーファイル(crossdomain.xml)設定について | さわいじり

投稿日 : 2005年10月06日 - yoshiweb - カテゴリ: Flash

コメント

投稿者 : ごんべい

こんにちは。 ごんべいといいます。

FLASH勉強中で、このサイトを発見しました。すごく勉強になります。教えて頂きたいのですが、
allow-access-from domainを*にした場合、すべのドメイン、およびIPアドレスからアクセスが可能となりますが、その場合どのようなリスクが考えられるか教えてもらますでしょうか。
2006年07月12日 11時33分31秒

投稿者 : yoshiweb

こんにちは、ごんべいさん。
CGIなどを使えば別ドメインのデータも読み込めると思うので、それほど重大なリスクを伴うことはないような気もしますがセキュリティの専門家ではないので詳しくはわかりません。無責任な言い方ですが自己責任でお願いします。m(_ _)m
2006年07月13日 12時15分05秒

投稿者 : yoshiweb

allow-access-from domainを*にした場合のリスクについて参考になりそうなリンク先を追加しました。
ついでに to-ports 属性と secure 属性の例を追加しました。
詳しくは Adobeサイトなどを参考にしてください。
2008年01月11日 19時22分23秒

投稿者 : http://tinyurl.com/

My brother recommended I might like this website.

He was totally right. This post truly made my day. You cann't imagine just how
much time I had spent for this info! Thanks!
2022年05月10日 08時50分11秒

投稿者 : tinyurl.com

I blog frequently and I really thank you for your content.
Your article has really peaked my interest.
I am going to book mark your blog and keep checking for new information about once a week.
I subscribed to your RSS feed too.
2022年05月11日 23時36分48秒

投稿者 : tinyurl.com

Very nice article, totally what I needed.
2022年05月17日 00時21分01秒

投稿者 : http://t.co

I am really enjoying the theme/design of your weblog.
Do you ever run into any internet browser compatibility problems?
A handful of my blog audience have complained about my
blog not operating correctly in Explorer but looks great in Safari.

Do you have any advice to help fix this problem?
2022年06月03日 05時10分23秒

投稿者 : t.co

Wow that was strange. I just wrote an incredibly long comment
but after I clicked submit my comment didn't appear.
Grrrr... well I'm not writing all that over again. Regardless, just wanted to say excellent blog!
2022年06月05日 22時39分42秒