的一些路径

Question

更严格的crossdomain.xml政策说我有一个网站（example.com）具有典型的“非常宽松”政策：

<cross-domain-policy> 
<allow-access-from domain="*" secure="false"/> 
</cross-domain-policy> 

这曾经是罚款，因为该网站只包含公共数据。但现在，我添加了路径“http://example.com/sensitive”，其中可能包含有关浏览我的网站的用户的一些稍微敏感的信息。我想建立一个更严格的政策，它是这样的：

<cross-domain-policy> 
<allow-access-from domain="*.example.com"/> 
</cross-domain-policy> 

说我把这个“crossdomain.xml的”在“http://example.com/sensitive”，我也修改根策略是这样的：

<cross-domain-policy> 
<allow-access-from domain="*" secure="false"/> 
<site-control permitted-cross-domain-policies="by-content-type"/> 
</cross-domain-policy> 

那够了吗？我不明白，如果“子策略”实际上可能比根策略更严格 - 即是否在flash客户端的纬度上加载子策略，还是始终加载该子策略？

Answer 1

找到答案，在任何人需要的情况下记录下来。

您不能使子路径策略比主策略更严格（从技术上讲，您可以，但.swf应用程序需要从代码中显式加载子策略，所以如果子策略是更严格，它不是真正可执行的）。

你可以做的是将你的“http://example.com/sensitive”路径移动到“http://sensitive.example.com/”之类的东西;在这种情况下，您可以在sensitive.example.com上使用更严格的crossdomain.xml策略，并且它将由Flash Player强制执行。