程序允許 HTTP 和 HTTPS SWF 應用程序進行通信。
從 Flash Player 7 開始,默認情況下通過 HTTP 加載的 SWF 應用程序不允許訪問通過 HTTPS 加載的 SWF 應用程序的數據。Adobe Flash 允許開發者通過編程或 crossdomain.xml 配置文件中的相應設置來更改此項限制。不過,定義這些設置時應小心謹慎,因為通過 HTTP 加載的 SWF 應用程序容易受到中間人攻擊,所以不應信賴此程序。
例:以下代碼會調用 allowInsecureDomain(),它可以關閉阻止通過 HTTP 加載的 SWF 應用程序訪問通過 HTTPS 加載的 SWF 應用程序數據的限制。
flash.system.Security.allowInsecureDomain("*");
[1] Matt Wood and Prajakta Jagdale Auditing Adobe Flash through Static Analysis
[2] Peleus Uhley Creating more secure SWF web applications
[3] Standards Mapping - SANS Top 25 2011 - (SANS Top 25 2011) Porous Defenses - CWE ID 862
[4] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.10