<?xml version="1.0" encoding="utf-8"?>
<access-policy>
<cross-domain-access>
<policy>
<allow-from http-request-headers="*">
<domain uri="*"/>
</allow-from>
<grant-to>
<resource path="/" include-subpaths="true"/>
</grant-to>
</policy>
</cross-domain-access>
</access-policy>
跨域访问限制主要为了解决以下安全性问题。
假设 用户A访问了 站点B,并在自己的机器上保存了用户凭证(放在cookie里)。 当用户A访问站点C(这是一个恶意站点), 站点C的页面中的脚本在用户不知晓的情况下,偷偷访问了站点B, 由于这是在用户A机器上的一个模拟请求, 所以用户A的凭证被传输到站点B中, B站点认为该用户为有效用户, 这样站点C可以利用自己页面中的脚本肆意的利用用户A的账户做任何站点B运行做的事情。 这显然会对用户A和站点B造成危害, 所以,浏览器设置了跨域访问限制。 脚本对Http的请求只能限制在同一个域中, 同一个域指的是相同的主机名和端口号。 对于Silverlight和flash来说, 跨域访问时必须的, 因为Silverlight的部署站点和Silverlight需要访问的服务站点大多数情况下都不在同一个域下。 所以Silverlight运行时在Silverlight需要访问web服务的时候, 先要在web服务的根目录下获取一个clientaccesspolicy的文件, 如果找到这个文件, 则认为改服务站点可以被Silverlight程序访问。否则禁止访问。(flash也采用这个策略,不过文件名称不同)。
对于Silverlight来说,还有一个限制, 如果在本地运行Silverlight程序,则任何访问远程数据的代码都将失败。 本地Silverlight程序只能用来显示一些界面效果。 没有多大用处。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。