跨域策略文件crossdomain.xml的配置方法

落日映苍穹つ 2022-07-14 10:15 265阅读 0赞

# 一、crossdomain.xml文件的作用 #

跨域，顾名思义就是需要的资源不在自己的域服务器上，需要访问其他域服务器。跨域策略文件是一个xml文档文件，主要是为web客户端(如Adobe Flash Player等)设置跨域处理数据的权限。打个比方说，公司A部门有一台公共的电脑，里面存放着一些资料文件，专门供A部门内成员自己使用，这样，A部门内的员工就可以访问该电脑，其他部门人员则不允许访问。如下图：  
![这里写图片描述][20161206142622866]  
A部门的员工可以任意访问A部门的公共电脑，但是不能直接访问B部门的公共电脑。有一天，B部门领导觉得他们的资料非常有用，想要与A部门分享，于是就给A部门一个令牌，这样A部门的员工也可以访问B部门的公共电脑了。  
    换成系统，常见就如同下面所示：  
![这里写图片描述][20161206144022950]  
上图是典型的跨域请求，业务服务器向图片服务器上传图片时就涉及到了跨域，要想能正常访问，图片服务器需要给业务服务器设置允许访问的权限。而这个权限设置就是跨域策略文件crossdomain.xml存在的意义。

# 二、配置规则 #

*  **cross-domain-policy**  
    cross-domain-policy元素是跨域策略文件crossdomain.xml的根元素。它只是一个策略定义的容器，没有自己的属性。子元素有：  
    
    
     *  **site-control**
     *  **allow-access-from**
     *  **allow-access-from-identity**
     *  **allow-http-request-headers-from**
 *  **site-control**  
    site-control元素用于定义当前域的元策略。元策略则是用于指定可接受的域策略文件，且该文件不同于目标域根元素(名为crossdomain.xml)中的主策略文件。  
    如果客户端收到指示使用主策略文件以外的策略文件，则该客户端必须首先检查主策略的元策略，以确定请求的策略文件是否获得许可。  
    属性：
    
     *  **permitted-cross-domain-policies**  
        指定元策略。除套接字策略文件外，所有策略文件的默认值均为master-only，套接字策略文件的默认值为all。该属性允许的值有：  
        
        
         *  **none**：目标服务器上的任何位置(包括该主策略文件)均不允许使用策略文件。
         *  **master-only**：仅允许这个主策略文件。
         *  **by-content-type**：仅允许Content-Type:text/x-cross-domain-policy提供的策略文件(只适用于HTTP/HTTPS)。
         *  **by-ftp-filename**：仅允许文件名为crossdomain.xml的策略文件。(只适用于FTP)
         *  **all**：允许此目标域中所有的策略文件。
 *  **allow-access-from**  
    allow-access-from元素用于授权发出请求的域从目标域中读取数据。可以通过使用通配符(\*)，为多个域设置访问权限。  
    属性：
    
     *  **domain**：指定要授予访问权限的发出请求的域。可以是域名或IP地址。子域将被视为不同的域。指定域时可以使用通配符星号( \* )表示多个域。单独使用星号( \* )表示所有域。一般不建议设置为星号允许所有域访问。
     *  **to-ports**：只适用于Sockets，以逗号分隔的端口列表，或者允许连接到套接字连接的一系列端口。端口范围通过在两个端口号之间插入短划线 (-) 指定。端口范围在用逗号隔开时则可以用于指代单个端口。一个通配符 (\*) 可用于表示允许所有端口。
     *  **secure**：只只适用于HTTPS和Sockets，指定仅授予指定来源的 HTTPS 文档的访问权限 (true)，还是授予指定来源的所有文档的访问权限 (false)。如果 HTTPS 策略文件中未指定 secure，则默认为 true。不建议在 HTTPS 策略文件中使用 false，因为这会影响 HTTPS 的安全性。在套接字策略文件中，默认值为 false。只有当套接字服务器接受本地主机连接时，指定 secure=”true” 才有意义，因为本地套接字连接通常不会面临中间人攻击的风险，因此无法更改 secure=”true” 声明。
 *  **allow-access-from-identity**  
    allow-access-from-identity元素根据加密凭据授予权限，而 allow-access-from 则截然不同，它根据来源授予权限。
 *  **allow-http-request-headers-from**  
    allow-http-request-headers-from元素用于授权发出请求的域中的请求文档将用户定义的标头发送到目标域。而 allow-access-from 元素旨在授权从目标域提取数据。这个标签授权以标头的形式推送数据。  
    属性：  
    
    
     *  **domain**：指定要授予访问权限的的域。可以是域名，也可以是IP地址，子域将被视为不同的域。通配符 (\*) 单独使用时可用于表示所有域，在用作以句点 (.) 分隔的明确二级域名前缀时表示多个域。表示单个域时需要使用单独的 allow-access-from 元素。
     *  **headers**：以逗号分隔的标头列表，表示允许发送的请求域。通配符 (\*) 可用于准许所有标头或头后缀，从而支持以相同字符开头但以不同字符结尾的标头。
     *  **secure**：只适用于HTTPS，如果设置为 false，则表示允许 HTTPS 策略文件授权访问 HTTP 源发出的请求。默认值为 true，表示仅提供 HTTPS 源权限。我们不推荐使用 false。

# 三、匹配规则 #

*  各个域或子域必须完全匹配。如www.example.com匹配[http://www.example.com][http_www.example.com]。
 *  IP地址和域名不匹配，即使IP地址就是域名指代的IP也不行。
 *  域通配符与该域本身及所有子域匹配。
 *  单独使用通配符 (\*) 允许所有请求者进行访问，但不推荐使用。只有在策略文件范围内的所有内容完全公开的情况下才应当使用允许所有权限。

举例：

<table> 
 <thead> 
  <tr> 
   <th>域值</th> 
   <th>匹配</th> 
   <th>不匹配</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>www.example.com</td> 
   <td><a href="http://www.example.com" rel="nofollow">http://www.example.com</a></td> 
   <td><a href="http://example.com" rel="nofollow">http://example.com</a> <br> <a href="http://example.com" rel="nofollow">http://example.com</a> <br> <a href="http://www.example.net" rel="nofollow">http://www.example.net</a></td> 
  </tr> 
  <tr> 
   <td>*.example.com</td> 
   <td><a href="http://example.com" rel="nofollow">http://example.com</a> <br> <a href="http://www.example.com" rel="nofollow">http://www.example.com</a> <br> <a href="http://deep.subdomain.example.com" rel="nofollow">http://deep.subdomain.example.com</a></td> 
   <td><a href="http://www.example.net" rel="nofollow">http://www.example.net</a></td> 
  </tr> 
  <tr> 
   <td>http://*.example.com</td> 
   <td><a href="http://example.com" rel="nofollow">http://example.com</a> <br> <a href="http://www.example.com" rel="nofollow">http://www.example.com</a> <br> <a href="http://deep.subdomain.example.com" rel="nofollow">http://deep.subdomain.example.com</a></td> 
   <td>所有的https域</td> 
  </tr> 
  <tr> 
   <td>127.0.0.1</td> 
   <td><a href="http://127.0.0.1" rel="nofollow">http://127.0.0.1</a></td> 
   <td><a href="http://localhost" rel="nofollow">http://localhost</a> <br> <a href="http://127.0.0" rel="nofollow">http://127.0.0</a> <br> <a href="http://127.0.0.2" rel="nofollow">http://127.0.0.2</a></td> 
  </tr> 
  <tr> 
   <td>www.example.*</td> 
   <td>无效的值，不匹配</td> 
   <td>无</td> 
  </tr> 
 </tbody> 
</table>

# 示例文件 #

<?xml version="1.0"?>   
    <!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
    <cross-domain-policy>
        <site-control permitted-cross-domain-policies="master-only"/>
        
        <allow-access-from domain="*.example.com"/>
        
        <allow-access-from domain="www.example.com"/>
        <allow-http-request-headers-from domain="*.csdn.net" headers="*"/>
    </cross-domain-policy>

[20161206142622866]: /images/20220714/c7461e398edc4a70b21f6b8cf98a4047.png
[20161206144022950]: /images/20220714/7bac9a4718f9488bb416563b9d45b8ab.png
[http_www.example.com]: http://www.example.com