给我留言 | 加入收藏 | 设为首页 | 会员中心 | 我要投稿 | RSS
| PHP | ASP | JAVA | .NET | FLASH | AJAX | MYSQL | PGSQL | MSSQL | DB2 | ORACLE | SYBASE | Html/Css | 服务器相关 | IOS |
您当前的位置:首页 > WEb开发 > FLASH

java与FlashSocket通信安全

时间:2009-11-14 17:50:15  来源:互联网  作者:未知
在Adobe Flash Player升级到9.0.124后,由于安全策略的更改,使得在socketxmlsocket的应用里,原先如用http方式加载安全策略的手段不能继续使用了,类似此类应用必须使用xmlsocket://方式来提供安全策略。flashplayer的安全策略检测过程如下:

1,首先检测目标服务器的843端口是否提供安全策略
2,如果1没有检测到策略,则检测actionscript是否使用了Security.loadPolicyFile(xmlsocket://) 手段提供安全策略,如果还没检测到,则使用第3步检测
3,检测目标服务器目标端口是否提供安全策略

如果上述检测都不成功,则socket或xmlsocket则拒绝连接目标服务器。


昨天做测试的时候遇到一个问题,做好的SWF在Flash AS3中调试通过,但是发布到html中之后就无法得到数据了。查了一些资料之后找到了解决办法。这里感谢 剑心 提供帮助,以及同事若水三千提供Java代码及日志记录。

1、问题描述

      将flash发布为html格式后,加载页面后,swf无法与服务器进行socket通信。Flash端显示的错误为:
securityErrorHandler信息: [SecurityErrorEvent type="securityError" bubbles=false cancelable=false eventPhase=2 text="Error #2048"]
在服务器端显示的信息是由客户端尝试进行连接,但是无法接受数据。接受的数据显示为空。

2.问题原因:

        最新的Flash player 9.0.124.0,当flash文件要进行socket通信的时候,需要向服务器端获取crossdomain.xml文件。如果找不到就出现客户端无法连接服务器的现象。

了解flash发起socket通信的三个过程

      当封装在页面的flash发起socket通信请求的时候会先寻找服务器端的843端口,获取Crossdomain.xml文件,当服务器没有开启 843的时候,flashPlayer会检查发起请求的swf文件中中有没有使用Security.loadPolicyFile来加载策略文件 Crossdomain.xml,如果还是没有就会看这个发起请求的swf要连接的目标端口有没有策略文件。如果都没有那么连接失败,返回如上的出错提示。

为什么老版本的Flash player没有这个问题?

      从一些官方的一些资料中了解了一下。以前的Flash Player无论你采用urlRequest的http请求方式或者xmlsocket socket方式,他们都共用一个安全策略文件。这个策略文件只要你放在主域的目录下就行了。而现在不行了,现在的策略文件如果你使用http请求方式那么需要把策略文件放在目录下面,如果你使用socket请求方式就必须通过socket端口来接收这个策略文件。

      对应调用的方式为:
      http请求——》Security.loadPolicyFile(“http://www.xxx.com/crossdomain.xml”)
      socket或xmlsocket请求——》Security.loadPolicyFile(“xmlsocket://www.xxx.com:port”)

怎么将Socke策略文件发给Flash Player

      Flash Player在你的socket.connect("domain",port)运行之前,会按照前面描述的三个过程向你的socket服务器的843端口(据说Adobe已经向相关管理机构申请保留843端口给Flash Player用)发送一个字符串 "<policy-file-request/>",这个时候如果你有一个服务在监听843端口那么收到这个字符串之后,直接按照XML格式发回策略文件就解决了。(注意发回的时候记得加一个截止字符"/0")

    当然你也可以不用843端口自己设置一个端口。因为Flash Player如果在843端口得不到信息,就会检查你是否在你的Flash文件里面自己添加了指定的获取通道,你可以定义一个自己的端口。不过这个时候你不能用http方式,而要用xmlsocket方式。(相当于自动帮你新建了一个xmlsocket对象,然后链接你指定的主机和端口)。比如你想用 1234端口可以在你的Flash里面加这一句 Security.loadPolicyFile(“xmlsocket://www.xxx.com:1234”),需要注意的是这一句要加在你的 socket.connect前面。

    还有最后一个办法,就是在你的socket连接端口监听这个请求。比如你用的是 socket.connect("192.168.1.100",8888),那么在你的服务器加一段接收字符串"<policy-file- request/>"的代码,当接到这个字符串时将策略文家按照xml格式发到客户端。

关于策略文件的格式(可以在Flash CS3帮助里面的Flash Player安全性——》控制权限概述中找到)

1、针对web应用的策略文件

下面的示例显示了一个策略文件,该文件允许访问源自 *.eb163.com 和 192.0.34.166 的 SWF 文件。
  1. <?xml version="1.0"?>
  2. <cross-domain-policy>
  3.     <allow-access-from domain="*.eb163.com" />
  4.     <allow-access-from domain="192.0.34.166" />
  5. </cross-domain-policy>
注意事项:
      默认情况下,策略文件必须命名为 crossdomain.xml,并且必须位于服务器的根目录中。但是,SWF 文件可以通过调用 Security.loadPolicyFile() 方法检查是否为其它名称或位于其它目录中。跨域策略文件仅适用于从其中加载该文件的目录及其子目录。因此,根目录中的策略文件适用于整个服务器,但是从任意子目录加载的策略文件仅适用于该目录及其子目录。

      策略文件仅影响对其所在特定服务器的访问。例如,位于 https://www.adobe.com:8080/crossdomain.xml 的策略文件只适用于在端口 8080 通过 HTTPS 对 www.adobe.com 进行的数据加载调用。

2、针对Socket的策略文件
  1. <cross-domain-policy>
  2.    <allow-access-from domain="*" to-ports="507" />
  3.    <allow-access-from domain="*.example.com" to-ports="507,516" />
  4.    <allow-access-from domain="*.example2.com" to-ports="516-523" />
  5.    <allow-access-from domain="www.example2.com" to-ports="507,516-523" />
  6.    <allow-access-from domain="www.example3.com" to-ports="*" />
  7. </cross-domain-policy>
这个策略文件是指定允许哪些域的主机通过那些端口链接。

参考文章

flash xmlsocket policy 问题
Policy file changes in Flash Player 9
Setting up a socket policy file server
Understanding Flash Player 9 April 2008 Security Update compatibility

获取策略文件的Java服务器端代码
  1. import java.io.BufferedReader;
  2. import java.io.BufferedWriter;
  3. import java.io.IOException;
  4. import java.io.InputStreamReader;
  5. import java.io.OutputStreamWriter;
  6. import java.net.ServerSocket;
  7. import java.net.Socket;

  8. public class SecurityXMLServer implements Runnable {

  9.    private ServerSocket server;
  10.    private BufferedReader reader;
  11.    private BufferedWriter writer;
  12.    private String xml;
  13.   
  14.    public SecurityXMLServer()
  15.    {
  16.      String path = "policyfile文件路径";
  17.      //此处的换成相应的读取xml文档的方式如dom或sax
  18.      //xml = readFile(path, "UTF-8");
  19.        /**
  20.          注意此处xml文件的内容,为纯字符串,没有xml文档的版本号
  21.         */
  22.      xml="<cross-domain-policy> "
  23.         +"<allow-access-from domain=/"*/" to-ports=/"1025-9999/"/>"
  24.      +"</cross-domain-policy> ";
  25.      System.out.println("policyfile文件路径: " + path);
  26.      System.out.println(xml);
  27.    
  28.      //启动843端口
  29.      createServerSocket(843);
  30.      new Thread(this).start();
  31.    }

  32.    //启动服务器
  33.    private void createServerSocket(int port)
  34.    {
  35.      try {
  36.        server = new ServerSocket(port);
  37.        System.out.println("服务监听端口:" + port);
  38.      } catch (IOException e) {
  39.        System.exit(1);
  40.      }
  41.    }

  42.    //启动服务器线程
  43.    public void run()
  44.    {
  45.      while (true) {
  46.        Socket client = null;
  47.        try {
  48.         //接收客户端的连接
  49.          client = server.accept();

  50.          InputStreamReader input = new InputStreamReader(client.getInputStream(), "UTF-8");
  51.          reader = new BufferedReader(input);
  52.          OutputStreamWriter output = new OutputStreamWriter(client.getOutputStream(), "UTF-8");
  53.          writer = new BufferedWriter(output);

  54.          //读取客户端发送的数据
  55.          StringBuilder data = new StringBuilder();
  56.          int c = 0;
  57.          while ((c = reader.read()) != -1)
  58.          {
  59.            if (c != '/0')
  60.              data.append((char) c);
  61.            else
  62.              break;
  63.          }
  64.          String info = data.toString();
  65.          System.out.println("输入的请求: " + info);
  66.         
  67.          //接收到客户端的请求之后,将策略文件发送出去
  68.          if(info.indexOf("<policy-file-request/>") >=0)
  69.          {
  70.            writer.write(xml + "/0");
  71.            writer.flush();
  72.            System.out.println("将安全策略文件发送至: " + client.getInetAddress());
  73.          }
  74.          else
  75.          {
  76.            writer.write("请求无法识别/0");
  77.            writer.flush();
  78.            System.out.println("请求无法识别: "+client.getInetAddress());
  79.          }
  80.          client.close();
  81.        } catch (Exception e) {
  82.          e.printStackTrace();
  83.          try {
  84.            //发现异常关闭连接
  85.            if (client != null) {
  86.              client.close();
  87.              client = null;
  88.            }
  89.          } catch (IOException ex) {
  90.            ex.printStackTrace();
  91.          } finally {
  92.            //调用垃圾收集方法
  93.            System.gc();
  94.          }
  95.        }
  96.      }
  97.    }
  98.   
  99.    //测试主函数
  100.    public static void main(String[] args)
  101.    {
  102.      new SecurityXMLServer();
  103.    }
  104. }
来顶一下
返回首页
返回首页
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
推荐资讯
相关文章
栏目更新
栏目热门