Flash 访问 https 资源时会发生什么？

Question

如果位于 http://example.com/test.swf 的 swf 向 https://secure.com/webservice.xml，会发生什么？ Adobe 关于跨域策略文件的文档指出了“安全”属性。

安全：[仅限 HTTPS 和套接字， 可选] 指定是否可以访问 仅授予 HTTPS 文档 指定的来源（true）或所有 来自指定来源的文件 （错误的）。如果安全未指定 HTTPS 策略文件，默认为 真的。在 HTTPS 策略中使用 false 不推荐使用该文件，因为 损害了所提供的安全性 HTTPS；例如，允许 中间人攻击以获得 访问受保护的 HTTPS 数据 策略文件。

这是否意味着 Flash 播放器实际上会发出 HTTP 请求，而不是 HTTPS？问题是否是对从非安全域提供的 .swf 文件的信任度较低？如果 Flash 播放器发出正确的 SSL 请求，我看不出额外的中间人漏洞来自何处。如果没有，我想网络服务器可能会被配置为拒绝它。

Answer 1

没有。如果将属性 secure 设置为 false，Flash 应用程序将不会发出 http 请求。它将向通过 https 发布的源发出 https 请求。但主要思想是，将此属性设置为 false 允许 Flash 与其他 http 资源建立连接。此时就可以发起“中间人”攻击。想象一下情况。您的 Flash 应用程序从 https 加载一些文档，并使用其 api 在某个 Web 服务器上处理它们，但通过 http（不安全）连接。从 https 加载的数据将由 Flash 通过简单的 http 传递到 Web 服务器。如果您将 secure 属性设置为 true，这将告诉 Flash 来自 https 的文档需要安全性。从那时起，Flash 就不会再发出简单的 http 请求，因为来自 https 的数据可能会被程序算法插入到这个不安全的请求中。