關於跨域策略文件crossdomain.xml文件--配置實例

轉載自：http://bbs.phpchina.com/blog-52440-191623.html

我一直不太明白crossdomain.xml文件是干嘛用的，今天總算比較清楚的知道了一下。

這是Flash安全沙盒機制：在Flash跨域訪問時——比如www.ddonwi.com/loader.swf文件要加載hi.ddonwi.com/beauty1.swf文件，就屬於跨域（名）訪問——Flash要求通過如下的策略來確定信任關系：

1、被訪問域名下的crossdomain.xml文件

以之前提的例子為例：loader.swf文件要加載beauty1.swf文件時，會先拉取hi.ddonwi.com/crossdomain.xml文件，這個文件里會列出允許訪問的域名，比如hi.ddonwi.com/crossdomain.xml文件的格式可能如下：

<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="www.ddonwi.com" />
</cross-domain-policy>

它說明了www.ddonwi.com是可信任的域名。

如果訪問者的域名不在再被訪者的crossdomain.xml的信任名單內，Flash就不會去加載文件。

2、不僅如此，Flash還有進一步的保護措施，被拉取的swf文件中還需要調用Security.allowInsecureDomain()聲明允許的訪問者的域名。如果被訪者沒有寫這個信任策略，swf文件可以被下載，但不能被執行。

 

實例介紹：

http://www.xiaonei.com/crossdomain.xml

<!– http://www.xiaonei.com/ –>
?
<cross-domain-policy>
<allow-access-from domain=”*.xiaonei.com”/>
<allow-access-from domain=”xiaonei.com”/>
</cross-domain-policy>

這是很標准的做法，我就讓我自己的域以及我的子域來獲取數據。

淘寶的：

http://www.taobao.com/crossdomain.xml

<cross-domain-policy>
<allow-access-from domain=”*.taobao.com”/>
<allow-access-from domain=”*.taobao.net”/>
<allow-access-from domain=”*.taobaocdn.com”/>
<allow-access-from domain=”*.allyes.com”/>
</cross-domain-policy>

紅色的一行是淘寶的CDN所在的域，所謂內容分發網絡。

綠色的一行是淘寶的廣告商了，http://www.allyes.com/好耶廣告網絡，只是不清楚是不是仍然再賣淘寶的廣告？

多看幾個大網站的crossdomain.xml，也可以知道可能是什么網絡廣告商給它們在打廣告。

比如彭博：http://www.bloomberg.com/crossdomain.xml

<cross-domain-policy>
<allow-access-from domain=”localhost”/>
<allow-access-from domain=”10.16.136.107″/>
<allow-access-from domain=”*.bloomberg.com”/>
<allow-access-from domain=”*.pointroll.com”/>
<allow-access-from domain=”*.pointroll.net”/>
</cross-domain-policy>

紅色的就太不專業了，把內部IP都給暴露了。。。。。。

綠色的是彭博的廣告商：PointRoll

路透的：

http://www.reuters.com/crossdomain.xml

<cross-domain-policy>
<allow-access-from domain=”*.reuters.com” secure=”false”/>
<allow-access-from domain=”ad.doubleclick.net” secure=”false”/>
<allow-access-from domain=”ad.uk.doubleclick.net” secure=”false”/>
<allow-access-from domain=”m.2mdn.net” secure=”false”/>
<allow-access-from domain=”m2.2mdn.net” secure=”false”/>
</cross-domain-policy>

廣告給了doubleclick來做（綠色）

2mdn.net看不懂是干嘛的，大概是個cdn吧。

濫情的facebook:

http://www.facebook.com/crossdomain.xml

<?xml version=”1.0″?>
<!DOCTYPE cross-domain-policy SYSTEM “http://www.adobe.com/xml/dtds/cross-domain-policy.dtd”>
<cross-domain-policy>
<site-control permitted-cross-domain-policies=”master-only” />
<allow-access-from domain=”s-static.facebook.com” />
<allow-access-from domain=”static.facebook.com” />
<allow-access-from domain=”static.api.ak.facebook.com” />
<allow-access-from domain=”*.static.ak.facebook.com” />
<allow-access-from domain=”s-static.thefacebook.com” />
<allow-access-from domain=”static.thefacebook.com” />
<allow-access-from domain=”static.api.ak.thefacebook.com” />
<allow-access-from domain=”*.static.ak.thefacebook.com” />
<allow-access-from domain=”*.static.ak.fbcdn.com” />
<allow-access-from domain=”external.ak.fbcdn.com” />
<allow-access-from domain=”*.static.ak.fbcdn.net” />
<allow-access-from domain=”external.ak.fbcdn.net” />
<allow-access-from domain=”www.facebook.com” />
<allow-access-from domain=”www.new.facebook.com” />
<allow-access-from domain=”register.facebook.com” />
<allow-access-from domain=”login.facebook.com” />
<allow-access-from domain=”ssl.facebook.com” />
<allow-access-from domain=”secure.facebook.com” />
</cross-domain-policy>

這么多！有子域，有CDN，有thefacebook（facebook的舊域名吧？）

還是google的專業：

<?xml version=”1.0″?>
<!DOCTYPE cross-domain-policy SYSTEM “http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd”>
<cross-domain-policy>
<site-control permitted-cross-domain-policies=”by-content-type” />
</cross-domain-policy>

藍色行的意思是，要符合要求的文件你才能取，不管你是哪來的flash數據請求。符合要求的文檔必須滿足：Content-Type: text/x-cross-domain-policy

另：

當Flex訪問WebService服務時，在本地能夠正常訪問，當部署到web容器中發布為web服務后，再調用WebServicIE，此時就會被拒絕訪問，這就是Flex跨域訪問的沙箱問題，
為了解決Flex跨域訪問WebService的問題，可采用如下方案：
首先，跨域訪問被拒絕是因為提供服務方沒有配置安全策略文件，即crossdomain.xml，如果你不想用crossdomain.xml就要用到代理，即自己寫一個后台讀取webservice，然后提供給自己的flex應用，因為在flashplayer中，要跨域必須要有策略文件。考慮到 flashplayer升級到9.124之后，加強了安全性，之前的crossdomain.xml的寫法發生了變化，以下就是該文件的完整寫法：
<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<allow-access-from domain="*" />
<allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>
表示該服務允許任何外域來訪問。
關於crossdomain.xml的放置目錄問題，有如下解決方案，可放置在：

1） 如果這個目錄是容器的根目錄，可以通過以下的url訪問crossdomain.xml： 

http://localhost:8080/crossdomain.xml 。
2） 如果crossdomain.xml不是放在根目錄下，而是在某個webapp下面，在flex中就需要在初始化的時候應用 
Security.loadPolicyFile("http:// localhost:8080/aaa /crossdomain.xml"); 

其中aaa為webapp的名稱
這樣，外部Flex訪問該服務發布的WebService時，flashplayer首先找的就是crossdomain.xml文件，若安全機制設置為允許訪問，則訪問成功。