我有一个swf-one-one服务器,它正在从AmazonS3服务器中提取内容。目前,我已经设置了一个通用的跨域策略,允许所有域访问:
在包含swf:的服务器上
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE cross-domain-policy SYSTEM
"http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>
在S3服务器上:
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE cross-domain-policy SYSTEM
"http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<site-control permitted-cross-domain-policies="master-only" />
<allow-access-from domain="*" />
<allow-http-request-headers-from domain="*"
headers="SOAPAction" />
</cross-domain-policy>
由于我的swf正在从S3服务器加载json、xml等文件,所以这些功能似乎很好(在大多数情况下)。做得不对的是从S3服务器加载swfs,当它试图这样做时,它会抛出这个异常:
SecurityError:错误#2121:安全沙盒冲突:Loader.content:s3.amazonaws.com/backet_name/swfs/foo.swf不能访问s3.amazonaws.com/backet_name/data/swfs/bar.swf。这可能是通过调用Security.allowDomain.解决问题
我认为这是因为远程swf可能包含恶意的可执行代码。我真的需要将allowDomain设置为某个值吗?或者是否有其他"更正确"的方式允许我的swf加载其他远程swf?
我在这里回答了一个类似的问题:
https://stackoverflow.com/a/9547996/579230
此外,如果crossdomain.xml已就位,则可以只执行loaderContext.checkPolicyFile = true,而不必显式加载文件。
确保使用bucket名称作为策略文件加载和每个文件/URL请求的子域。
解决方案:
http://onegiantmedia.com/cross-domain-policy-issues-with-flash-loading-remote-data-from-amazon-s3-cloud-storage