更严格的crossdomain.xml政策说我有一个网站(example.com)具有典型的“非常宽松”政策:的一些路径
<cross-domain-policy>
<allow-access-from domain="*" secure="false"/>
</cross-domain-policy>
这曾经是罚款,因为该网站只包含公共数据。但现在,我添加了路径“http://example.com/sensitive”,其中可能包含有关浏览我的网站的用户的一些稍微敏感的信息。我想建立一个更严格的政策,它是这样的:
<cross-domain-policy>
<allow-access-from domain="*.example.com"/>
</cross-domain-policy>
说我把这个“crossdomain.xml的”在“http://example.com/sensitive”,我也修改根策略是这样的:
<cross-domain-policy>
<allow-access-from domain="*" secure="false"/>
<site-control permitted-cross-domain-policies="by-content-type"/>
</cross-domain-policy>
那够了吗?我不明白,如果“子策略”实际上可能比根策略更严格 - 即是否在flash客户端的纬度上加载子策略,还是始终加载该子策略?