zoukankan      html  css  js  c++  java
  • silverlight 跨域socket

    http://msdn.microsoft.com/en-us/library/cc645032(VS.95).aspx

    一切都是临时的,beta2相对于beta1改了很多,不知道正式发布时是否还会改变。

    翻译的作用是备忘。

    Silverlight 2 beta 支持2种访问远程服务器的方式:

    System.Net命名空间中的WebClient和HTTP类。这些类使用HTTP或者HTTPS访问。

    System.Net.Sockets命名空间中的Socket类。这些类提供更低层次的socket接口,可以用在更普通的网络通讯应用中。

    这两种情况都需要提供安全机制以防止silverlight程序发起未经允许的连接。潜在风险包括:

    DOS攻击:大量的远程PC用来攻击一个特定的站点

    DNS改写攻击:把受害站点的DNS该写为silverlight源站点,从而让silverlight访问非源站点

    反向连接攻击:让用户的silverlight访问某个远程节点,从而攻击者可以通过此连接访问用户的私有网络(这个攻击的模式是,用户访问了一个恶意silverlight站点,下载了silverlight并运行,该silverlight建立一个到私有网络的连接,例如内部file server,从而实现偷窃内部file server数据的功能)

    Silverlight设计出了防止以上的攻击之外,还立足于提供管理员更好的控制。

    原有的设计是仅允许silverlight访问源站点。beta1的这个安全模型仅仅允许silverlight通过socket访问下载的那个站点。这个源站点可以是localhost,如果这个silverlight直接从文件中打开的话。

    beta包含了跨域连接的支持从而允许访问非源站点。这个重要特性允许silverlight程序使用已有的web service。Silverlight 2 Runtime在允许一个网络连接之前,需要首先从该网站下载一个安全策略文件。这个安全策略文件仅影响WebClient和HTTP类的跨域网络访问。WebClient和HTTP类在访问源的时候,无须安全策略文件。

    对于socket,这个安全策略系统不仅影响跨域访问,也影响源访问。即便是源访问,也需要安全策略。这和beta1不一样。beta1中源访问总是被允许的。

    安全策略系统基础

    Silverlight 存在2种安全策略文件:

    Flash policy file - Adobe Flash所使用的crossdomain.xml文件。这个策略文件仅仅用于WebClient和HTTP类。

    Silverlight policy file - 可以用来在Web/Socket两种。该文件和Flash策略文件有不同的格式。

    在允许到某个网络资源的连接之前,Silverlight2 Runtime会试图从该网络资源下载一个安全策略文件。不同的访问方式有不同的下载方式。

    如果连接是WEB跨域,Silverlight2 运行时使用HTTP协议下载安全策略文件。Silverlight2 运行时首先试图从目标域的根下载Silverlight策略文件clientaccesspolicy.xml,如果能获得这个文件(即便解析该文件出现错误),它也用该文件做跨域策略文件。如果找不到该文件,Silverlight运行时试图从目标域的根下载flash策略文件crossdomain.xml。这个flash策略文件必须允许连接所有域。

    如果是socket连接(跨域或者源访问),Silverlight2运行时试图连接目标站点的943端口(固定端口)。如果可以建立,Silverlight运行时发送一个特殊的字符串<policy-file-request>到服务器以获得策略文件。Silverlight2运行时会等待目标站点返回Silverlight策略文件。如果返回了(即便解析出错),也会用作策略文件。

    如果策略文件正确解析,并且保证了权限,连接会建立。否则,连接以及以后的连接均被阻止。

    另一个socket连接的限制是服务器端口必须在4502-4534之内。如果服务器提供服务器的端口不在其内,可以用程序重定向(例如ssh)

    为WebClient/HTTP部署安全策略文件,系统管理员需要配置web service,以便可以下载策略文件。

    为socket部署安全策略文件,系统管理员需要配置一个单独的认证服务。

    如下是一个开放socket 4502~4506端口的策略文件。必须listen在943端口。(这个问题很令人郁闷,这个绑定冲突怎么解决?)

    <?xml version="1.0" encoding ="utf-8"?>
    <access-policy>
      <cross-domain-access>
        <policy>
          <allow-from>
            <domain uri="*" />
          </allow-from>
          <grant-to>
            <socket-resource port="4502-4506" protocol="tcp" />
          </grant-to>
        </policy>
      </cross-domain-access>
    </access-policy>
    如果发现943被bind,kill掉该process,启动自己的server,同时策略文件允许所有。
  • 相关阅读:
    IE无法打开internet网站已终止操作的解决的方法
    欢乐暑假-高校俱乐部暑期线上编程竞赛奖励机制
    pojAGTC(LCS,DP)
    ExtJs自学教程(1):一切从API開始
    Java实现BASE64编解码
    IOS框架概览
    DeviceIoControl的使用说明
    strcpy_s与strcpy的比較
    第三章 引擎的核心:渲染框架
    具体解释VB中连接access数据库的几种方法
  • 原文地址:https://www.cnblogs.com/slteam/p/1372726.html
Copyright © 2011-2022 走看看