文档章节

FlashPlayer安全限定读书手札

童年伊梦
 童年伊梦
发布于 2012/09/25 12:17
字数 758
阅读 55
收藏 0

一些概念:

1.资源发布者(Resource Distributor)

提供给定资源的一方。通常指服务器操作者,如网站管理员、套接字服务器管理员。

2.资源创建者(Resource Creator)

创建资源的一方,指编译.swf的AcitonScript开发人员。

3.用户(User)

FlashPlayer运行的计算机用户。

 

本地范围(Locate Realm)

远程范围(Remote Realm)被资源发布者划分为不同区域,叫远程区域(Remote Region)

A.Internet域

B.Internet子域

C.指向远程范围中的一台计算机的IP地址

注意

1)sitea.com和siteb.com是不同的远程区域;

2)games.sina.com和music.sina.com是不同的远程区域;

3)192.168.1.83和192.168.2.58是不同的远程区域;

4)192.150.14.120和http://adobe.com是不同的远程区域,尽管192.150.14.120解析于

adobe.com-----FlashPlayer认为数值指定的IP地址和他们等价的域名不同!

 

--------------------------------------安全沙盒类型---------------------------------------------

Security.sandboxType

Security.sandboxType 具有下列值之一:

 

remote (Security.REMOTE):此 SWF 文件来自 Internet URL,并在基于域的沙箱规则下运行。

localWithFile (Security.LOCAL_WITH_FILE):此 SWF 文件是本地文件,尚未受到用户信任,且没有使用网络名称进行发布。 此 SWF 文件可以从本地数据源读取数据,但不能与 Internet 进行通信。

localWithNetwork (Security.LOCAL_WITH_NETWORK):此 SWF 文件是本地文件,尚未受到用户信任,且已使用网络名称进行发布。 此 SWF 文件可与 Internet 通信,但不能从本地数据源读取数据。

localTrusted (Security.LOCAL_TRUSTED):此 SWF 文件是本地文件,并且用户已经使用“设置管理器”或 FlashPlayerTrust 配置文件将其设置为受信任的文件。 此 SWF 文件既可以从本地数据源读取数据,也可以与 Internet 进行通信。

 

 

---------------------------------常见的由于安全原因受阻塞的4种操作-------------------------

1)内容装载

2)内容作为数据访问

3)交叉脚本控制

4)数据装载上的限定

 

1.内容装载(Loading Content)

2.内容作为数据访问

3.交叉脚本控制(Cross-Scripting)

由程序访问加载的.swf文件。包括但不限于以下几种:

a)通过Loader的实例变量content取得被加载的.swf文件对象

b)访问被加载的.swf的变量

c)调用被加载的.swf的方法

d)引用被加载的.swf中定义的类

e)使用BitmapData类的实例方法draw()把被加载的.swf文件的像素复制到一个BitmapData对象

4.数据装载上的限定(Loading Data)

我们常说的数据装载有一下几种:

a)通过FileReference类的实例的方法download()从一个服务器下载文件

b)使用Flash Remoting装载对象

c)使用Socket对象装载二进制数据等

  通常说的是

1)使用URLLoader类的实例方法load()装载文本、二进制、URL编码变量

2)使用URLStream类的实例方法load()装载数据

注意:

Loader实例的load-------------------------内容装载

URLLoader实例的load---------------------数据装载

 

--------------------------Remote沙盒-------------------------------------

-------------------------localWithFile--------------------------------------

--------------------------localWithNetwork------------------------------------

----------------------------------localTrusted------------------------------

© 著作权归作者所有

下一篇: 备忘录
童年伊梦
粉丝 1
博文 29
码字总数 21736
作品 0
浦东
私信 提问
Linux 系统与数据库安全

Linux 系统与数据库安全 Mr. Neo Chen (netkiller), 陈景峰(BG7NYT) 中国广东省深圳市龙华新区民治街道溪山美地 518131 +86 13113668890 +86 755 29812080 版权 © 2011, 2012, 2013, 2014 h...

netkiller-
2014/05/27
351
1
Linux 系统安全与优化配置

Linux 系统安全与优化配置 Mr. Neo Chen (netkiller), 陈景峰(BG7NYT) 中国广东省深圳市龙华新区民治街道溪山美地 518131 +86 13113668890 +86 755 29812080 版权 © 2011, 2012, 2013, 2014...

netkiller-
2014/05/20
940
1
植入式攻击入侵检测解决方案

植入式攻击入侵检测解决方案 http://netkiller.github.io/journal/security.implants.html Mr. Neo Chen (陈景峰), netkiller, BG7NYT 中国广东省深圳市龙华新区民治街道溪山美地 518131 +86...

netkiller-
2014/12/25
167
0
数据库记录安全解决方案(二)

数据库记录安全解决方案 http://netkiller.github.io/journal/mysql.security.html Mr. Neo Chen (netkiller), 陈景峰(BG7NYT) 中国广东省深圳市龙华新区民治街道溪山美地 518131 +86 13113...

netkiller-
2014/08/28
142
0
Tomcat 安全配置与性能优化

Tomcat 安全配置与性能优化 Mr. Neo Chen (netkiller), 陈景峰(BG7NYT) 中国广东省深圳市龙华新区民治街道溪山美地 518131 +86 13113668890 +86 755 29812080 版权 © 2011, 2012, 2013, 20...

netkiller-
2014/05/20
661
4

没有更多内容

加载失败,请刷新页面

加载更多

零基础学画画应该从哪开始?

零基础学画画应该从哪开始?一种是从小有兴趣,喜欢涂鸦,喜欢将自己的创意和想法表现出来;另一种是长大后审美提高,开始对绘画艺术感兴趣,从而开始从零基础学起。 推荐大家可以搜一下:轻微...

设绘嗨
14分钟前
2
0
你编写的程序高效、优雅吗?阿里架构师教你编写高效优雅Java程序

面向对象 构造器参数太多怎么办? 用 builder 模式,用在 1、5 个或者 5 个以上的成员变量 2、参数不多,但是在未来,参数会增加 Builder 模式: 属于对象的创建模式,一般有 1. 抽象建造者:...

kx33389
19分钟前
1
0
PDF 文档操作Java类库Spire.PDF for Java v2.7.6发布上线!| 附下载

Spire.PDF for Java是一款专门对 PDF 文档进行操作的 Java 类库。该类库的主要功能在于帮助开发人员在 Java 应用程序(J2SE和J2EE)中生成 PDF 文档和操作现有 PDF 文档,并且运行环境无需安...

mnrssj
27分钟前
0
0
初探云原生应用管理(二): 为什么你必须尽快转向 Helm v3

在研究了一番“开放云原生应用中心(AppHub)”之后,程序员小张似乎已经明白了“云原生应用”到底是怎么一回事情。 “不就是 Helm 嘛!” 这不,小张这就准备把自己开发多年的“图书馆管理系...

zhaowei121
30分钟前
0
0
「工具」三分钟了解一款思维导图工具:XMind Zen

一款非常实用的商业思维导图软件,融合艺术与创造力。致力于高效的可视化思维,强调软件的跨平台使用,帮助用户提高生产效率。 相关信息 · 操作系统:macOS / Windows / Linux · 官方网站:...

极光推送
32分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部