rtmp / flashストリーミング/ wowzaの安全なクロスドメイン
少し迷ってしまいました。次のような状況です。
Flash Playerファイルはhttps://sub.example.com/player.swfにあります
crossdomain.xmlはhttps://sub2.example.com/crossdomain.xmlにあります
ストリーミングは Wowza を使用して行われます。
crossdomain.xmlは今のところタイトですが、
<cross-domain-policy>
<allow-access-from domain="*" secure="false"/>
<site-control permitted-cross-domain-policies="all"/>
</cross-domain-policy>
私はこれを自分で理解しようとしましたが、これに関する以下の投稿を読んでいます:
- http://sethsec.blogspot.ch/2014/03/exploiting-misconfigured-crossdomainxml.html
- https://stackoverflow.com/questions/1215127/how-do-i-specify-a-crossdomain-policy-file-to-allow-flash-to-grab-a-bitmap-from (特に2つ回答)
- https://forums.Adobe.com/thread/422391
- https://www.wowza.com/forums/showthread.php?45081-The-function-of-crossdomain-xml
- https://www.Adobe.com/devnet-docs/acrobatetk/tools/AppSec/xdomain.html
それでも私の質問は残っています:適切に保護するために、この場合crossdomain.xmlはどのように見えるべきですか?その理由他のプレーヤーが別のサブドメインのplayer.swf以外のストリームにアクセスする必要がある理由はありません。
適切にロックダウンされたポリシーは、次のようになります。
<cross-domain-policy>
<allow-access-from domain="sub.example.com" secure="true"/>
<site-control permitted-cross-domain-policies="all"/>
</cross-domain-policy>
許可*すべてのドメインのワイルドカードは、sub2.example.comは、ユーザーがアクセスする別のドメイン上の悪意のあるFlashアプリによって侵害される可能性があります。