flex安全沙箱问题

所谓“安全沙箱”,其实是flex的一种安全策略,这确实给不少初学者造成很大程度上的困难。

以socket为例,网站也同理。
建立socket,前提是flash文件在浏览器中运行安全沙箱才会其作用,如果直接使用本地flash播放器运行则不会出现安全沙箱问题。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
//添加socket的监听方法
private function configureListeners():void{
socket.addEventListener(Event.CLOSE, closeHandler);
socket.addEventListener(Event.CONNECT, connectHandler);
socket.addEventListener(IOErrorEvent.IO_ERROR, ioErrorHandler);
socket.addEventListener(SecurityErrorEvent.SECURITY_ERROR, securityErrorHandler);
socket.addEventListener(ProgressEvent.SOCKET_DATA, socketDataHandler);
}
//初始化连接
private function initSocket():void{
try{
if (socket == null){
socket=new Socket();
}
configureListeners();
socket.connect("", "");
trace("初始化socket,进行连接");
}catch (e:Error){
Alert.show("连接socket服务器失败!");
}
...

在socket调用连接的时候socket内部会首先连接指定IP的843端口,目的是请求一个crossdomian文件,此文件实际就是一个授权文件。之后sockt会根据授权文件的范围进行判断,如果连接的端口不在授权之中就会出现安全沙箱冲突的错误。

而一般意义上的corssdomain文件为入下结构:

1
2
3
4
<cross-domain-policy>
<allow-access-from domain="*" to-ports="1000"/>
<allow-access-from domain="localhost" to-ports="1000"/>
</cross-domain-policy>

此文件规定客户端flash可以连接的地址。如果是socket的话,服务器端socket就以流的方式返回corssdomain文件。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
public class FlashClientHander implements Runnable {
private ServerSocket serverSocket = null;
private static String CROSS_DOMAIN = null;
public FlashClientHander(){
CROSS_DOMAIN = GlobalsXml.getPropertie("cross-domain-context");
try {
serverSocket = new ServerSocket(843);
} catch (IOException e) {
e.printStackTrace();
}
}
@Override
public void run() {
while(GlobalDefinition.IS_RUNNING){
try {
Socket socket = serverSocket.accept();
System.err.println("843 accpet");
BufferedReader reader = new BufferedReader(new InputStreamReader(socket.getInputStream()));
OutputStreamWriter writer = new OutputStreamWriter(socket.getOutputStream());
String request = read(reader);
System.err.println("Request = " + request);
if (request.contains("<policy-file-request/>") || request.contains("GET /crossdomain.xml")) {
writer.write(CROSS_DOMAIN + "\u0000");
}
writer.flush();
writer.close();
reader.close();
socket.close();
} catch (IOException e) {
e.printStackTrace();
} catch(Exception e){
e.printStackTrace();
}
}
}
private String read(BufferedReader in) {
StringBuffer buffer = new StringBuffer();
int codePoint;
boolean zeroByteRead = false;
try {
do {
codePoint = in.read();
if (codePoint == 0 || codePoint == '\n') {
zeroByteRead = true;
}
else if (Character.isValidCodePoint(codePoint)) {
buffer.appendCodePoint(codePoint);
}
}
while (!zeroByteRead && buffer.length() < 200);
}
catch (Exception e) {
e.printStackTrace();
}
return buffer.toString();
}
}

如果服务器端使用socket返回crossdomain流的话,需要注意一下几点:

  1. socket是有超时时间的,超时同样出错,所以服务器端socket尽量快速的完成843端口的请求返回。
  2. flash的socket在判断crossdomain流结束的标识是\u0000字符,因此服务器socket在返回corssdomain流之后验写出一个\u0000字符。

另外flex没有多线程概念,所谓没有多线程的意思是,不提供给用户使用,内部自然是有多线程的额功能的,对外体现出来就是回调和异步。
这就造成了一个问题,你需要判断哪些代码是同步执行的,哪些代码是异步执行的。即大部分方式是在调用结束后返回,而在调用过程会阻塞后面方法的调用,而有些方法则是无法阻塞后面方法执行的,最明显的就是Alert.show方法,同样和js的alert、java的JOptionPane进行比较就会发现js和java的响应时阻塞当前进程,而as则是,异步。
话归正题,socket的connect就是一个异步的操作,所以你再connect后面做一些读写操作都是没有意义的,因为,在你操作的时候socket可能还没有连接成,于是你只能在socket的连接成功的回调中做这些操作。

另外网站的安全沙箱是统一到了,只是网站的crossdomain是http请求方式,因此网站提供的crossdomian文件就需要是一个xml文件,格式同socket。并且此corssdomian文件必须放置在网站根目录,所谓网站根目录与项目根目录不是一个概念,这里所说的网站根目录是指域名或ip加端口,xml只有放置在此目录才有效果。