跨域策略文件crossdomain.xml文件

原文链接：(2条消息) 跨域策略文件crossdomain.xml文件_宇宙小天才的博客-CSDN博客

 

配置规则：

根元素：cross-domain-policy(策略定义的容器，没有属性)

子元素：site-control、allow-access-from、allow-access-from-identity、allow-http-request-headers-from

• sitecontrol

    属性：permitted-cross-domain-policies（指定元策略，默认值：master-only（套接字策略文件默认值：all，其他策略文件默认值：master-only））

    值：none：目标服务器上的任何位置（包括该主策略文件）均不允许使用策略文件

      master-only：仅允许这个主策略文件

      by-content-type：仅允许 Content-Type:text/x-cross-domain-policy提供的策略文件（只适用于HTTP/HTTPS）

      by-ftp-filename：仅允许文件名为crossdomain.xml的策略文件（只适用于FTP）

      all：允许此目标域中所有的策略文件

• allow-access-from

　　　　根据来源授予权限。用于授权发出请求的域从目标域中读取数据。可以通过使用*为多个域设置访问权限。

　　　　domain：指定要授予访问权限的发出请求的域。可以是域名或IP地址。子域将被视为不同的域。指定域时可以使用 * 表示多个域。单独使用 * 表示所有域。（一般不建议设置为*）

　　　　to-ports：只适用于Sockets。以逗号分隔的端口列表，或者允许连接到套接字连接的一系列端口。端口范围通过在两个端口号之间插入-指定。端口范围在用逗号隔开时可以指代单个端口。*可表示允许所有端口。

　　　　secure：只适用于HTTPS和Sockets。true：指定仅授予指定来源的 HTTPS 文档的访问权限 ，false：授予指定来源的所有文档的访问权限 。如果 HTTPS 策略文件中未指定 secure，则默认为 true。不建议在 HTTPS 策略文件中使用 false，因为这会影响 HTTPS 的安全性。在套接字策略文件中，默认值为 false。只有当套接字服务器接受本地主机连接时，指定 secure=”true” 才有意义，因为本地套接字连接通常不会面临中间人攻击的风险，因此无法更改 secure=”true” 声明。

• allow-access-from-identity

　　　　根据加密凭据授予权限。

• allow-http-request-headers-from

　　　　用于授权发出请求的域中的请求文档将用户定义的标头发送到目标域。

　　　　domain：指定要授予访问权限的的域。可以是域名或IP地址，子域将被视为不同的域。单独使用 * 表示所有域，在用作以. 分隔的明确二级域名前缀时表示多个域。表示单个域时需要使用单独的 allow-access-from 元素。
　　　　headers：以逗号分隔的标头列表，表示允许发送的请求域。*可用于准许所有标头或头后缀，从而支持以相同字符开头但以不同字符结尾的标头。
　　　　secure：只适用于HTTPS，如果设置为 false，则表示允许 HTTPS 策略文件授权访问 HTTP 源发出的请求。默认值为 true，表示仅提供 HTTPS 源权限。不建议使用 false，不太安全。

　　　　

匹配规则

• 各个域或子域必须完全匹配。
• 域通配符与该域本身及所有子域匹配。
• IP地址和域名匹配
• 单独使用通配符 (*) 允许所有请求者进行访问（在策略文件范围内的所有内容完全公开的情况下才使用）

 

文件示例

<!--允许所有资源访问-->
<?xml version="1.0"?> 
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd"> 
<cross-domain-policy> 
<site-control permitted-cross-domain-policies="all"/> 
<allow-access-from domain="*" secure="false"/> 
<allow-http-request-headers-from domain="*" headers="*" secure="false"/> 
</cross-domain-policy>