カスタムポリシーファイル crossdomain.xml について
Flash でドメインをまたいで外部ファイルを読み込みたい場合
参照側のサーバー(外部ファイルが置いてある方)に
crossdomain.xmlという名前のXMLが必要らしいです。
XMLの書き方は
全てのドメインのアクセスを許可する(どこからでもOK〜!にする)ときは
以下の記述をしたXML「crossdomain.xml」をルートディレクトリに配置
他の全てのドメインから読み込まれるのを防ぐ(他のドメインは全部ダメー!にする)ときは
crossdomain.xmlファイルを設置しない!
もしくはallow-access-from タグのない crossdomain.xml ファイルをルートディレクトリに配置
crossdomain.xml の各要素の内容
メタポリシー設定
ドメインの指定の仕方は
例:www.example.co.jp上に設置されたFlashからの、80番ポートへのアクセスを許可する
例:HTTPS サーバーへ、HTTPサーバー上に設置されたFlashからのアクセスを許可する
※ 2008/04 の Flash Player セキュリティアップデートから
HTTP リクエスト送信時にヘッダに属性を追加する場合は、以下のような記述も必要になるそうです。
例:Basic認証のかかってるサーバーにヘッダをつけてリクエストを送る場合
【基本情報】
Flashヘルプ - ドメイン間のデータロード許可
Flash Player 7 におけるセキュリティの変更について(英語)
【Flash Player9のセキュリティアップデート関連情報】
セキュリティに関するFlash Player 9の変更点
緊急情報:2008年4月に行われるFlash Player9のセキュリティアップデートへの対応のお願い
akihiro kamijo: 来月 (2008/4) の Flash Player セキュリティアップデート
akihiro kamijo: ソケットポリシーファイルと Flash Player セキュリティ
※ 全部許可した場合のリスクは下記のリンク先が参考になりそうです。
crossdomain.xml と CSRF 脆弱性について - 川o・-・)<2nd life<
ここが危ない!Web2.0のセキュリティ:第4回 Flash,JSONでのクロスドメインアクセス|gihyo.jp … 技術評論社
Flashとポリシーファイルの密接なカンケイ − @IT
クロスドメインポリシーファイル(crossdomain.xml)設定について | さわいじり
参照側のサーバー(外部ファイルが置いてある方)に
crossdomain.xmlという名前のXMLが必要らしいです。
XMLの書き方は
全てのドメインのアクセスを許可する(どこからでもOK〜!にする)ときは
以下の記述をしたXML「crossdomain.xml」をルートディレクトリに配置
他の全てのドメインから読み込まれるのを防ぐ(他のドメインは全部ダメー!にする)ときは
crossdomain.xmlファイルを設置しない!
もしくはallow-access-from タグのない crossdomain.xml ファイルをルートディレクトリに配置
crossdomain.xml の各要素の内容
メタポリシー設定
all: すべてのポリシーファイルが許可されます。
by-content-type: Content-Typeがtext/x-cross-domain-policyのすべてのポリシーファイルが許可されます。
by-ftp-filename: FTPサーバにのみ使用できます。
master-only: マスターポリシーファイル( /crossdomain.xmlにあります)のみが許可されます。
none: ポリシーファイルは許可されません。
none-this-response: HTTP応答ヘッダでのみ指定できる特別なメタポリシー。
ドメインの指定の仕方は
・完全なドメイン名 (例:www.example.co.jp )
・IP アドレス (例:65.57.83.12 )
・ワイルドカードを使用したドメイン名 (例:*.example.co.jp )
・完全なワイルドカード:* (アスタリスクひとつ)
※この場合、すべてのドメイン、および IP アドレスからのアクセスが許可される。
例:www.example.co.jp上に設置されたFlashからの、80番ポートへのアクセスを許可する
例:HTTPS サーバーへ、HTTPサーバー上に設置されたFlashからのアクセスを許可する
※ 2008/04 の Flash Player セキュリティアップデートから
HTTP リクエスト送信時にヘッダに属性を追加する場合は、以下のような記述も必要になるそうです。
例:Basic認証のかかってるサーバーにヘッダをつけてリクエストを送る場合
【基本情報】
Flashヘルプ - ドメイン間のデータロード許可
Flash Player 7 におけるセキュリティの変更について(英語)
【Flash Player9のセキュリティアップデート関連情報】
セキュリティに関するFlash Player 9の変更点
緊急情報:2008年4月に行われるFlash Player9のセキュリティアップデートへの対応のお願い
akihiro kamijo: 来月 (2008/4) の Flash Player セキュリティアップデート
akihiro kamijo: ソケットポリシーファイルと Flash Player セキュリティ
※ 全部許可した場合のリスクは下記のリンク先が参考になりそうです。
crossdomain.xml と CSRF 脆弱性について - 川o・-・)<2nd life<
ここが危ない!Web2.0のセキュリティ:第4回 Flash,JSONでのクロスドメインアクセス|gihyo.jp … 技術評論社
Flashとポリシーファイルの密接なカンケイ − @IT
クロスドメインポリシーファイル(crossdomain.xml)設定について | さわいじり
投稿日 : 2005年10月06日 - yoshiweb - カテゴリ: Flash
コメント
投稿者 : ごんべい
2006年07月12日 11時33分31秒
投稿者 : yoshiweb
こんにちは、ごんべいさん。
CGIなどを使えば別ドメインのデータも読み込めると思うので、それほど重大なリスクを伴うことはないような気もしますがセキュリティの専門家ではないので詳しくはわかりません。無責任な言い方ですが自己責任でお願いします。m(_ _)m
CGIなどを使えば別ドメインのデータも読み込めると思うので、それほど重大なリスクを伴うことはないような気もしますがセキュリティの専門家ではないので詳しくはわかりません。無責任な言い方ですが自己責任でお願いします。m(_ _)m
2006年07月13日 12時15分05秒
投稿者 : yoshiweb
allow-access-from domainを*にした場合のリスクについて参考になりそうなリンク先を追加しました。
ついでに to-ports 属性と secure 属性の例を追加しました。
詳しくは Adobeサイトなどを参考にしてください。
ついでに to-ports 属性と secure 属性の例を追加しました。
詳しくは Adobeサイトなどを参考にしてください。
2008年01月11日 19時22分23秒
投稿者 : Impacto mecanico
Exceptional post however , I was wondering if you could write a litte more on this topic?
I'd be very thankful if you could elaborate a little bit more.
Bless you!
I'd be very thankful if you could elaborate a little bit more.
Bless you!
2025年02月21日 08時36分41秒
投稿者 : Vibracion del motor
Genuinely when someone doesn't know then its up to other visitors that they will assist, so here
it occurs.
it occurs.
2025年02月26日 07時30分59秒
投稿者 : vibración de motor
Do you mind if I quote a few of your articles as long as I
provide credit and sources back to your website?
My blog is in the very same niche as yours and my visitors
would genuinely benefit from a lot of the information you present here.
Please let me know if this alright with you. Thank
you!
provide credit and sources back to your website?
My blog is in the very same niche as yours and my visitors
would genuinely benefit from a lot of the information you present here.
Please let me know if this alright with you. Thank
you!
2025年03月07日 19時08分55秒
投稿者 : equilibrado de rotores
Hey just wanted to give you a quick heads up and let you know a few of the images
aren't loading correctly. I'm not sure why but I think its a linking issue.
I've tried it in two different web browsers and both show the same results.
aren't loading correctly. I'm not sure why but I think its a linking issue.
I've tried it in two different web browsers and both show the same results.
2025年03月14日 04時14分51秒
投稿者 : análisis de vibraciones
Hmm it appears like your blog ate my first comment (it was super long)
so I guess I'll just sum it up what I submitted and say, I'm thoroughly enjoying your blog.
I as well am an aspiring blog blogger but I'm still new to the
whole thing. Do you have any points for beginner blog writers?
I'd really appreciate it.
so I guess I'll just sum it up what I submitted and say, I'm thoroughly enjoying your blog.
I as well am an aspiring blog blogger but I'm still new to the
whole thing. Do you have any points for beginner blog writers?
I'd really appreciate it.
2025年03月20日 10時03分47秒
FLASH勉強中で、このサイトを発見しました。すごく勉強になります。教えて頂きたいのですが、
allow-access-from domainを*にした場合、すべのドメイン、およびIPアドレスからアクセスが可能となりますが、その場合どのようなリスクが考えられるか教えてもらますでしょうか。