一、概述
位于www.mzwu.com域中的SWF文件要访问www.163.com的文件时,SWF首先会检查163服务器目录下是否有crossdomain.xml文件,如果没有,则访问不成功;若crossdomain.xml文件存在,且里边设置了允许www.mzwu.com域访问,那么通信正常。所以要使Flash可以跨域传输数据,其关键就是crossdomain.xml。
二、crossdomain.xml文件格式
crossdomain.xml的格式非常简单,其根节点为<cross-domain-policy> ,其下包含一个或多个<allow-access-from>节点,<allow-access-from>有一个属性domain,其值为允许访问的域,可以是确切的 IP 地址、一个确切的域或一个通配符域(任何域)。下边是两个例子:
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="www.friendOfFoo.com" />
<allow-access-from domain="*.foo.com" />
<allow-access-from domain="105.216.0.40" />
</cross-domain-policy>
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>
第二个例子允许任何域的访问。对于crossdomain.xml文件存放位置,建议将其存放于站点根目录中!
三、示例
1.SWF文件主要ActionScript:
on (release) {
var myvar = new LoadVars();
myvar.t = t2.text;
myvar.sendAndLoad("http://www.163.com/test.asp",myvar,"post");
myvar.onLoad = function(re){
if(re){
t1.text = myvar.t;
}else{
t1.text = "fail...";
}
}
}
2.test.asp代码:
<%
Dim t
t = Request.form("t")
Response.write("t=" & t & " back!")
%>
【转自:http://www.mzwu.com/article.asp?id=975】
分享到:
相关推荐
flash跨域访问策略。渗透测试时检查crossdomain.xml配置信息,应当重点检查allow-access-from=*、allow-http-request-headers-from=*、site-control=allow将会导致漏洞。特别注意参数为*和all,当站内没有cross...
$(document).ready(function() { $.ajaxf.install('/Files/zsea/AJAX.swf'); $("#fdemo_get").click(function() { $.ajaxf.getText("http://www.youku.com/", '...$("#fdemo").val(r);...获取数据" id='fdemo_get' />
web渗透: Flash跨域访问漏洞 web渗透: 客户端URL重定向 web渗透: DNS域传送漏洞 web渗透: 服务器多余端口开放 web渗透: 本地存储安全 web渗透: web服务器解析漏洞 web渗透: JavaScript注入漏洞 web渗透: CSS注入 web...
web渗透--55--Flash跨域访问漏洞.pdf web渗透--56--客户端URL重定向.pdf web渗透--57--DNS域传送漏洞.pdf web渗透--58--服务器多余端口开放.pdf web渗透--59--本地存储安全.pdf web渗透--6--枚举web服务器应用.pdf ...
由于谷歌浏览器停止对flash的支持,所以项目中用到的pdf预览插件需要更换。...在文件跨域访问上花费了很长时间,走了很多弯路才解决问题。下载和打印按钮的隐藏处理相对简单粗暴直接把view.html工具栏的div隐藏即可
要做一个页面上短信息的提示音的功能,本来想用HTML5中Audio+IE下的bgsound来实现,可是发现每种浏览器对Audio的解码类型还不一样,顿时有种崩溃的感觉。...首先,要让你的Flash能访问页面,你需要在<embed>标签
通过普通的方式很难突破这个限制,通常使用API来跨域,更经常看到的是通过页面代理的方式访问,这样实现起来很繁琐,效率也很低,所以也就搞出了这个插件,通过Flash来实现跨域。 下面给出一个实例给大家,获取优酷...
JavaScript 和 AJAX 跨域访问分为两大类,一是本域和子域的交互,二是本域和其他域的交互。 一、本域和子域的交互:www.s135.com 和 blog.s135.com 二、本域和其他域的交互:blog.s135.com 和 api.bz 本域和...
最近我在处理flash跨域问题上就遇到个活生生的例子: flash里面的as3访问外网时没啥问题。可是假如通过网页调取的情况下,flash访问的外网又与所在网页不是一个域的。就会产生跨域问题。打开浏览器,f12之后,看到的...
跨域请求数据解决方案主要有如下解决方法: ...1、Ajax直接请求普通文件存在跨域无权访问的问题,甭管是静态页面、动态网页、web服务、wcf、只要是跨域请求,一律不行。 2、不过,web页面上调用js文件时则不受
很多时候,我们在编写JS代码时,可能会涉及到跨域操作... 由于浏览器的安全性限制,JS、IFRAME、FLASH都无法绕开这个跨域问题。除非你有被访问网站的修改权。如果你有被访问网站的修改权,通过在被访问网站添加授权配置
3.2.5 域及跨域访问 3.3 Flex Module 3.3.1 创建模块 3.3.2 模块的编辑与编译 3.3.3 模块文件的加载 3.3.4 主应用和模块的交互 3.4 Flex库文件SWC 3.5 Flex编译模式、链接模式与RSL 3.5.1...
3.2.5 域及跨域访问 3.3 Flex Module 3.3.1 创建模块 3.3.2 模块的编辑与编译 3.3.3 模块文件的加载 3.3.4 主应用和模块的交互 3.4 Flex库文件SWC 3.5 Flex编译模式、链接模式与RSL 3.5.1...
简言之,CORS就是为了让AJAX可以实现可控的跨域访问而生的。SOP就是SameOriginPolicy同源策略,指一个域的文档或脚本,不能获取或修改另一个域的文档的属性。也就是Ajax不能跨域访问,我们之前的Web资源访问的根本...
3.2.5 域及跨域访问 99 3.3 Flex Module 101 3.3.1 创建模块 102 3.3.2 模块的编辑与编译 104 3.3.3 模块文件的加载 104 3.3.4 主应用和模块的交互 107 3.4 Flex库文件SWC 107 3.5 Flex编译模式、链接模式与...
pmxdr是跨域 JavaScript库标准,它不依赖于Flash等任何专有技术,而是使用HTML5 postMessage API发出请求。 pmxdr代表postMessage跨域请求者。 它尊重大多数适用的HTTP访问控制标头,即使是在不支持HTTP访问标头但...