限制SWF文件的可见性

Question

我有一种情况，我的主SWF文件加载了许多外部SWF文件。但是，这些外部SWF文件只是坐在Web服务器的公用文件夹中。

是否有可能到SWF的可见性限制只有我的主SWF文件（加载外部主权财富基金之一）。在当前状态下，任何知道在哪里寻找的用户都可以输入URL并获得SWF，更不用说不遵循robots.txt的流氓机器人。

这样做的原因很简单。用户使用用户名/密码登录主Flash应用程序，主Flash应用程序依次加载SWF文件，然后才可以向用户提供。另外，根据登录用户的身份，某些SWF文件是受限制的并且未加载。

感谢您的帮助！

Answer 1

这取决于flash是如何验证的。 Flash需要使用数据库与服务器端应用程序进行身份验证。然后，服务器端应用程序可以使用数据库在每个文件的基础上执行访问控制。

所有files应该由表进行跟踪，包含列如本地path到文件以及user_group或者一个user_id。经过身份验证的会话应在用用户名和密码登录后跟踪user_id。

是很常见的攻击蜘蛛使用robots.txt的对付你，如果你把这些文件路径在robots.txt你最好只是压缩他们，并让他们给攻击者。

这是很容易反编译Flash应用程序并进行修改。不要依赖“客户端”安全系统，他们很容易绕过。攻击者也可以使用tamperdata来重放和修改HTTP请求。你需要一台服务器来告诉客户它可以访问哪些文件。

Answer 2

根据您想如何安全的是，我能想到几个选项：

1. 的服务器端脚本来控制你的子主权财富基金的交付（如佩卡已经在上面的建议）。

2. 如果想要做的一切客户端，你可以把一个条件测试每个子SWF中，所以他们只会从你的主SWF播放里面：

喜欢的东西if(this.parent.toString() != "mainSwf") { stop();}（伪代码）。

当然，这也不是万无一失，因为人可以很容易地命名为“mainSwf”自己的父母，但它会阻止你的子主权财富基金的随意浏览。至少直到有人反编译它们...

通过在主SWF中设置一个属性（如var myKey:String="362574036704ry3f0y3432607"），然后使用您的条件测试它：if(this.parent.myKey != "362574036704ry3f0y3432607") { stop();}，可以使事情变得更加困难。

窗台不是非常安全的，虽然。希望这可以帮助。

---

编辑：

也有一个类似的问题here，这可能有用的答案。