crossdomain.xml 정책변경
FP9.0.124.0 (현재 FP10) 업데이트 악의적인 HTTP 헤더에 대한 보안 취약점을 해결하기 위해서 크로스-도메인 정책이 변경되었다. 다른 도메인 상의 SWF 파일로 부터 HTTP 헤더의 전송을 허용할지 여부를 크로스-도메인 정책 파일에서 설정할 수 있다.
또한 html에 포함하는 임베디드 태그의 파라미터 중 allowScriptAccess의 값에서도 설정을 하여야 한다.
FP10에서는 접근을 시도하려는 파일이 있는 서버에도, 접근을 허용하는 서버에도 모두 crossdomain이 필요하다. 이러한 crossdomain을 master policy라고도 하는데, 이 파일 외에 다른 파일타입이나 파일명으로 된 정책파일의 사용을 허용할지 말지를 설정한다. 기존에는 기본값이 all로 되어 있어서 제한없이 사용할 수 있었으나, FP10에서는 master-only로 변경, 기본적으로는 마스터 정책 파일만 사용할 수 있게 바뀌었다.
이러한 변경은 악의적인 사용자가 게시판 글쓰기나 파일업로드 등의 방법으로 크로스 도메인 설정의 내용을
가지는 파일을 만들수 있고, 이를 이용해 loadPolicyFile() 메소드를 이용하여 로드하는 경우, 실제로는 권한이 없는 사이트에서도 데이터를 가져갈 수 있는 문제를 야기 시키기에 서버 관리자가 마스터 설정 파일을 가지고, 이런 악의적인 적근을 제한하기 위해 추가된 기능이다.
해결방법
[ 기존설정 ]
<?xml version="1.0" encoding="UTF-8" ?>
<cross-domain-policy>
<allow-access-from domain="*.yourdomain.com" to-ports="*" />
</cross-domain-policy>
데이터제공서버 크로스도메인파일 : 필요.
데이터요청서버 크로스도메인파일 : 필요없음.
[ 변경설정 ]
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy><allow-access-from domain="*.yourdomain.com" to-ports="*" />
<allow-http-request-headers-from domain=
"*" headers="*"/>
</cross-domain-policy>데이터제공서버 크로스도메인파일 : 필요.
데이터요청서버 크로스도메인파일 : 필요.
데이터제공서버에서만 사용되었던 크로스정책파일을 swf 파일 서버에도 동일하게 생성.
'위기관리' 카테고리의 다른 글
| 웹접근성 : Tab키 활용 시 MouseEvent 와 KeyboardEvent 구분 (0) | 2010.10.25 |
|---|---|
| MouseWheel 버그해결방법 (0) | 2010.10.25 |
| JSP 페이지 인코딩 설정법 (0) | 2010.10.25 |
| 플래시 플레이어 설치오류 (0) | 2010.10.25 |
| 크로스도메인 연동 작업시 주의사항 (0) | 2010.10.25 |