Feb
29

Il file di Crossdomain Policy

Filed under AS2, Tips and Tricks

Questo articolo è una traduzione di una parte dell’articolo di Colin Moock, che potete trovare a questo indirizzo. Mi sono limitato a fare la traduzione.

Il Flash Player 6 ha introdotto una sandbox di sicurezza che implementa le seguenti restrizioni:

  • Un filmato caricato su un dominio non può caricare dati da un altro dominio.
  • Un filmato caricato su un dominio non può accedere alle proprietà e ai metodi di un filmato caricato da un altro dominio.

Il Flash Player 7 restringe la sandbox di sicurezza. Nel Flash Player 6, infatti, i sottodomini dello stesso dominio potevano accedersi l’un l’altro. Nel Flash Player 7, i dati possono essere solamente caricati dallo stesso esatto dominio dal quale viene caricato il filmato. Per esempio, il Flash Player 6 permetterà a un filmato caricato su site.fuoridalcerchio.net di caricare delle news da news.fuoridalcerchio.net. Ma nel Flash Player 7, il tentativo fallirà.

Ecco un altro esempio più serio: nel Flash Player 7, se si accede a un sito con una URL corta, come http://fuoridalcerchio.net (senza il www), i filmati su questo sito non potranno caricare dati dall’url completa del sito, www.fuoridalcerchio.net. Questa limitazione colpisce i file pubblicati per Flash Player 6, come anche quelli pubblicati per Flash Player 7. Se l’swf è pubblicato per Flash Player 6 o precedente, allora il Flash Player 7 mostrerà una finestra di avviso, chiedendo all’utente di permettere al filmato l’accesso al dominio esterno.

Per dare automaticamente al filmato caricato da iltuosito.com accesso ai dati su www.iltuosito.com, si ha la necessità di utilizzare un file di cross-domain policy. I passi seguenti descrivono come il proprietario di iltuosito.com possa aggiungere il file di cross-domain policy al suo sito, permettendo così il flusso di dati da iltuosito.com a www.iltuosito.com e viceversa.

  • Create un nuovo file di testo chiamato crossdomain.xml
  • Aprite il file crossdomain.xml in un editor di testo.
  • Aggiungete il seguente codice xml nel file:<?xml version=”1.0″?> 
    <!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/
dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<allow-access-from domain="www.iltuosito.com" />
<allow-access-from domain="iltuosito.com" />
</cross-domain-policy>
  • Salvate il file.
  • Caricatelo nella root del sito, in modo che il file sia raggiungibile all’indirizzo www.iltuosito.com/crossdomain.xml

Se ospitate contenuto Flash che carica XML oppure variabili, oppure vi connettete a un server XMLSocket, dovreste seguire i consigli dati sopra, sostituendo il dominio del vostro sito con “iltuosito.com” nelle istruzioni. Se il vostro sito carica dati utilizzando una url assoluta, ma non ha un file di cross-domain policy, i visitatori che utilizzano il Flash Player 7 vedranno un avviso di sicurezza. Notate bene che se caricate i dati utilizzando una url relativa, per esempio ../newsfeed.xml invece che http://iltuosito.com/newsfeed.xml, l’avviso di sicurezza non apparirà poichè la url relativa risolverà il dominio usato per vedere il sito, e cioè iltuosito.com o www.iltuosito.com, a seconda dei casi.

Comments