阅读:2860次
评论:3条
更新时间:2013-06-21
所谓“安全沙箱”,其实是flex的一种安全策略,这确实给不少初学者造成很大程度上的困难。
以socket为例,网站也同理。
建立socket,前提是flash文件在浏览器中运行安全沙箱才会其作用,如果直接使用本地flash播放器运行则不会出现安全沙箱问题。
在socket调用连接的时候socket内部会首先连接指定IP的843端口,目的是请求一个crossdomian文件,此文件实际就是一个授权文件。之后sockt会根据授权文件的范围进行判断,如果连接的端口不在授权之中就会出现安全沙箱冲突的错误。
而一般意义上的corssdomain文件为入下结构:
此文件规定客户端flash可以连接的地址。如果是socket的话,服务器端socket就以流的方式返回corssdomain文件。
如果服务器端使用socket返回crossdomain流的话,需要注意一下几点:
一、socket是有超时时间的,超时同样出错,所以服务器端socket尽量快速的完成843端口的请求返回。
二、flash的socket在判断crossdomain流结束的标识是\u0000字符,因此服务器socket在返回corssdomain流之后验写出一个\u0000字符。
另外flex没有多线程概念,所谓没有多线程的意思是,不提供给用户使用,内部自然是有多线程的额功能的,对外体现出来就是回调和异步。
这就造成了一个问题,你需要判断哪些代码是同步执行的,哪些代码是异步执行的。即大部分方式是在调用结束后返回,而在调用过程会阻塞后面方法的调用,而有些方法则是无法阻塞后面方法执行的,最明显的就是Alert.show方法,同样和js的alert、java的JOptionPane进行比较就会发现js和java的响应时阻塞当前进程,而as则是,异步。
话归正题,socket的connect就是一个异步的操作,所以你再connect后面做一些读写操作都是没有意义的,因为,在你操作的时候socket可能还没有连接成,于是你只能在socket的连接成功的回调中做这些操作。
另外网站的安全沙箱是统一到了,只是网站的crossdomain是http请求方式,因此网站提供的crossdomian文件就需要是一个xml文件,格式同socket。并且此corssdomian文件必须放置在网站根目录,所谓网站根目录与项目根目录不是一个概念,这里所说的网站根目录是指域名或ip加端口,xml只有放置在此目录才有效果
以socket为例,网站也同理。
建立socket,前提是flash文件在浏览器中运行安全沙箱才会其作用,如果直接使用本地flash播放器运行则不会出现安全沙箱问题。
//添加socket的监听方法
private function configureListeners():void{
socket.addEventListener(Event.CLOSE, closeHandler);
socket.addEventListener(Event.CONNECT, connectHandler);
socket.addEventListener(IOErrorEvent.IO_ERROR, ioErrorHandler);
socket.addEventListener(SecurityErrorEvent.SECURITY_ERROR, securityErrorHandler);
socket.addEventListener(ProgressEvent.SOCKET_DATA, socketDataHandler);
}
//初始化连接
private function initSocket():void{
try{
if (socket == null){
socket=new Socket();
}
configureListeners();
socket.connect("", "");
trace("初始化socket,进行连接");
}catch (e:Error){
Alert.show("连接socket服务器失败!");
}
}
在socket调用连接的时候socket内部会首先连接指定IP的843端口,目的是请求一个crossdomian文件,此文件实际就是一个授权文件。之后sockt会根据授权文件的范围进行判断,如果连接的端口不在授权之中就会出现安全沙箱冲突的错误。
而一般意义上的corssdomain文件为入下结构:
<cross-domain-policy>
<allow-access-from domain="*" to-ports="1000"/>
<allow-access-from domain="localhost" to-ports="1000"/>
</cross-domain-policy>
此文件规定客户端flash可以连接的地址。如果是socket的话,服务器端socket就以流的方式返回corssdomain文件。
public class FlashClientHander implements Runnable {
private ServerSocket serverSocket = null;
private static String CROSS_DOMAIN = null;
public FlashClientHander(){
CROSS_DOMAIN = GlobalsXml.getPropertie("cross-domain-context");
try {
serverSocket = new ServerSocket(843);
} catch (IOException e) {
e.printStackTrace();
}
}
@Override
public void run() {
while(GlobalDefinition.IS_RUNNING){
try {
Socket socket = serverSocket.accept();
System.err.println("843 accpet");
BufferedReader reader = new BufferedReader(new InputStreamReader(socket.getInputStream()));
OutputStreamWriter writer = new OutputStreamWriter(socket.getOutputStream());
String request = read(reader);
System.err.println("Request = " + request);
if (request.contains("<policy-file-request/>") || request.contains("GET /crossdomain.xml")) {
writer.write(CROSS_DOMAIN + "\u0000");
}
writer.flush();
writer.close();
reader.close();
socket.close();
} catch (IOException e) {
e.printStackTrace();
} catch(Exception e){
e.printStackTrace();
}
}
}
private String read(BufferedReader in) {
StringBuffer buffer = new StringBuffer();
int codePoint;
boolean zeroByteRead = false;
try {
do {
codePoint = in.read();
if (codePoint == 0 || codePoint == '\n') {
zeroByteRead = true;
}
else if (Character.isValidCodePoint(codePoint)) {
buffer.appendCodePoint(codePoint);
}
}
while (!zeroByteRead && buffer.length() < 200);
}
catch (Exception e) {
e.printStackTrace();
}
return buffer.toString();
}
}
如果服务器端使用socket返回crossdomain流的话,需要注意一下几点:
一、socket是有超时时间的,超时同样出错,所以服务器端socket尽量快速的完成843端口的请求返回。
二、flash的socket在判断crossdomain流结束的标识是\u0000字符,因此服务器socket在返回corssdomain流之后验写出一个\u0000字符。
另外flex没有多线程概念,所谓没有多线程的意思是,不提供给用户使用,内部自然是有多线程的额功能的,对外体现出来就是回调和异步。
这就造成了一个问题,你需要判断哪些代码是同步执行的,哪些代码是异步执行的。即大部分方式是在调用结束后返回,而在调用过程会阻塞后面方法的调用,而有些方法则是无法阻塞后面方法执行的,最明显的就是Alert.show方法,同样和js的alert、java的JOptionPane进行比较就会发现js和java的响应时阻塞当前进程,而as则是,异步。
话归正题,socket的connect就是一个异步的操作,所以你再connect后面做一些读写操作都是没有意义的,因为,在你操作的时候socket可能还没有连接成,于是你只能在socket的连接成功的回调中做这些操作。
另外网站的安全沙箱是统一到了,只是网站的crossdomain是http请求方式,因此网站提供的crossdomian文件就需要是一个xml文件,格式同socket。并且此corssdomian文件必须放置在网站根目录,所谓网站根目录与项目根目录不是一个概念,这里所说的网站根目录是指域名或ip加端口,xml只有放置在此目录才有效果
您还没有登录,请您登录后再发表评论
3 楼 lemon_yt 2013-10-11 23:05
2 楼 cuisuqiang 2013-06-21 17:15
1.首先检测服务端的843端口是否提供安全策略文件;
2.如果步骤1没有检测到,则检测AS代码中是否使用了Security.loadPolicyFile(xmlsocket://)手段进行安全验证, 如果没有则进行第3步验证;
3.在目标端口检测安全策略文件
如果以上3步都检测失败,则flash player拒绝连接目标服务器。socket连接失败。socket端大体思路是:监听843端口和目标端口,在flash player第一次连接时,会先连接843端口,并且发送"<policy-file-request/> "作为验证标志,如果843提供安全策略,则843端口将策略文件用字符串方式返回flash player , 如果安全策略文件中运行flash player连接目标端口,则843端口关闭,flash player自行启动一个socket连接目标端口。到此为止,socket连接成功。
安全策略文件格式如下:
1 楼 cuisuqiang 2013-06-21 17:13
有的人值发送了策略文件的字节流,而没有加以上这个东西,那么Flex客户端是不处理的,所以它是必要的结束