**참조 : [기술문서] Flash Player 9의 보안 변경 사항
======================================================================================================
Flash Player 9,0,115,0 버전부터는 1단계의 기본 메타 정책은 all이 됩니다. 이는 호환성을 강조하는 것으로, 메타 정책이 명시적으로 선택될 때까지 사이트가 이에 영향을 받지 않고 계속 작동할 수 있습니다.
Flash Player의 이후 버전부터는 2단계의 기본 메타 정책은 none이 됩니다. 이는 보안을 강조하는 것으로, 사이트에서 메타 정책을 명시적으로 선택해야 Flash Player의 최신 버전에서 모든 컨텐츠가 정책 파일로 인식될 수 있습니다.
======================================================================================================
Meta-policy option 설정예
======================================================================================================
<site-control permitted-cross-domain-policies="all"/>
======================================================================================================
Meta-policy option 범위
======================================================================================================
* all: 모든 정책 파일이 허용됩니다. 이 메타 정책은 공용 인터넷에 상주하며 로그인 인증서가 필요한 컨텐츠를 제공하지 않는 서버에만 적합합니다.
* by-content-type: Content-Type이 정확하게 text/x-cross-domain-policy인 모든 정책 파일이 허용됩니다. 이외의 다른 정책 파일은 허용되지 않습니다. 이 메타 정책은 HTTP 및 HTTPS 서버에만 사용할 수 있습니다. 대부분의 HTTP 서버는 Content-Type의 지정 방식을 유연하게 결정하므로, 일부 정책 파일을 허용해야 할 때 가장 유용한 옵션입니다. text/x-cross-domain-policy 유형을 지정하는 일반적인 전략에는 개별 위치에 지정하여 각 정책 파일에 대해 관리자의 승인이 필요한 전략이 있는가 하면, 이름이 crossdomain.xml인 파일에 text/x-cross-domain-policy를 지정하여 정책 파일이 어디에나 상주하도록 허용하지만 이러한 파일을 손쉽게 찾을 수 있도록 하여 업로드 또는 기타 컨텐츠 생성 프로세스 동안 파일 필터링을 간편하게 수행할 수 있는 전략이 있습니다.
* by-ftp-filename: 이름이 crossdomain.xml(예: URL이 /crossdomain.xml로 끝나는 정책 파일)인 모든 정책 파일이 허용됩니다. 이외의 다른 정책 파일은 허용되지 않습니다. 이 메타 정책은 FTP 서버에만 사용할 수 있습니다. 필수 파일 이름은 사용자 정의할 수 없습니다.
* master-only: /crossdomain.xml에 위치한 마스터 정책 파일만이 허용됩니다.
* none: 모든 정책 파일이 허용되지 않습니다. 이 메타 정책이 마스터 정책 파일에서 선언되면 이 마스터 정책 파일은 이 메타 정책을 선언하는 용도로만 상주할 수 있도록 허용되며, 이 메타 정책에 포함된 <allow-access-from> 지시문은 무시됩니다.
* none-this-response: 이 메타 정책은 HTTP 응답 헤더에서만 지정될 수 있는 특수 메타 정책입니다. 이를 사용하면 특정 HTTP 응답이 정책 파일로 인식되지 않도록 할 수 있습니다. 기타 모든 메타 정책과 달리 none-this-response는 전체 서버에 대한 전반적인 메타 정책을 선언하지 않고 단일 HTTP 응답에만 영향을 줍니다. 또한 기타 모든 메타 정책과 달리 none-this-response는 충돌 없이 다른 모든 메타 정책과 결합될 수 있습니다. none-this-response와 또 다른 메타 정책이 모두 존재하는 경우, 현재 HTTP 응답은 정책 파일로 허용되지 않지만 추가 메타 정책이 이 서버에 대한 전반적인 메타 정책으로 인식됩니다. none-this-response 메타 정책은 주로 서버에 정책 파일을 생성하도록 허용하지 않는 스크립트가 포함된 경우 유용합니다. 일반적으로 스크립트는 출력의 Content-Type을 선택하고 임의의 HTTP 응답 헤더를 생성할 수 있으므로, 해당 출력이 적법한 정책 파일임을 나타내는 스크립트 출력을 필터링하기가 어려울 수 있습니다. 대신 none-this-response 메타 정책 헤더를 스크립트 출력에 첨부하면 스크립트가 무엇을 생성하건 상관없이 유효한 정책 파일을 생성하지 못하게 할 수 있습니다. (또한 스크립트가 고유 메타 정책 HTTP 응답 헤더를 생성하는 경우, 가장 제한적인 메타 정책을 선택하여 메타 정책 충돌 문제를 해결하므로, 서버에서 이미 지정한 메타 정책 외에 보다 개방적인 메타 정책을 채택하지 못하게 할 수 있습니다.)
======================================================================================================
** 링크된 기술문서 참조
변경된 보안 사항이 적용된 crossdomain.xml 예
======================================================================================================
<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://www.adobe.com/xml/schemas/PolicyFile.xsd">
<allow-access-from domain="*.허용도메인” />
<site-control permitted-cross-domain-policies="all"/>
</cross-domain-policy>
======================================================================================================
======================================================================================================
Flash Player 9,0,115,0 버전부터는 1단계의 기본 메타 정책은 all이 됩니다. 이는 호환성을 강조하는 것으로, 메타 정책이 명시적으로 선택될 때까지 사이트가 이에 영향을 받지 않고 계속 작동할 수 있습니다.
Flash Player의 이후 버전부터는 2단계의 기본 메타 정책은 none이 됩니다. 이는 보안을 강조하는 것으로, 사이트에서 메타 정책을 명시적으로 선택해야 Flash Player의 최신 버전에서 모든 컨텐츠가 정책 파일로 인식될 수 있습니다.
======================================================================================================
Meta-policy option 설정예
======================================================================================================
<site-control permitted-cross-domain-policies="all"/>
======================================================================================================
Meta-policy option 범위
======================================================================================================
* all: 모든 정책 파일이 허용됩니다. 이 메타 정책은 공용 인터넷에 상주하며 로그인 인증서가 필요한 컨텐츠를 제공하지 않는 서버에만 적합합니다.
* by-content-type: Content-Type이 정확하게 text/x-cross-domain-policy인 모든 정책 파일이 허용됩니다. 이외의 다른 정책 파일은 허용되지 않습니다. 이 메타 정책은 HTTP 및 HTTPS 서버에만 사용할 수 있습니다. 대부분의 HTTP 서버는 Content-Type의 지정 방식을 유연하게 결정하므로, 일부 정책 파일을 허용해야 할 때 가장 유용한 옵션입니다. text/x-cross-domain-policy 유형을 지정하는 일반적인 전략에는 개별 위치에 지정하여 각 정책 파일에 대해 관리자의 승인이 필요한 전략이 있는가 하면, 이름이 crossdomain.xml인 파일에 text/x-cross-domain-policy를 지정하여 정책 파일이 어디에나 상주하도록 허용하지만 이러한 파일을 손쉽게 찾을 수 있도록 하여 업로드 또는 기타 컨텐츠 생성 프로세스 동안 파일 필터링을 간편하게 수행할 수 있는 전략이 있습니다.
* by-ftp-filename: 이름이 crossdomain.xml(예: URL이 /crossdomain.xml로 끝나는 정책 파일)인 모든 정책 파일이 허용됩니다. 이외의 다른 정책 파일은 허용되지 않습니다. 이 메타 정책은 FTP 서버에만 사용할 수 있습니다. 필수 파일 이름은 사용자 정의할 수 없습니다.
* master-only: /crossdomain.xml에 위치한 마스터 정책 파일만이 허용됩니다.
* none: 모든 정책 파일이 허용되지 않습니다. 이 메타 정책이 마스터 정책 파일에서 선언되면 이 마스터 정책 파일은 이 메타 정책을 선언하는 용도로만 상주할 수 있도록 허용되며, 이 메타 정책에 포함된 <allow-access-from> 지시문은 무시됩니다.
* none-this-response: 이 메타 정책은 HTTP 응답 헤더에서만 지정될 수 있는 특수 메타 정책입니다. 이를 사용하면 특정 HTTP 응답이 정책 파일로 인식되지 않도록 할 수 있습니다. 기타 모든 메타 정책과 달리 none-this-response는 전체 서버에 대한 전반적인 메타 정책을 선언하지 않고 단일 HTTP 응답에만 영향을 줍니다. 또한 기타 모든 메타 정책과 달리 none-this-response는 충돌 없이 다른 모든 메타 정책과 결합될 수 있습니다. none-this-response와 또 다른 메타 정책이 모두 존재하는 경우, 현재 HTTP 응답은 정책 파일로 허용되지 않지만 추가 메타 정책이 이 서버에 대한 전반적인 메타 정책으로 인식됩니다. none-this-response 메타 정책은 주로 서버에 정책 파일을 생성하도록 허용하지 않는 스크립트가 포함된 경우 유용합니다. 일반적으로 스크립트는 출력의 Content-Type을 선택하고 임의의 HTTP 응답 헤더를 생성할 수 있으므로, 해당 출력이 적법한 정책 파일임을 나타내는 스크립트 출력을 필터링하기가 어려울 수 있습니다. 대신 none-this-response 메타 정책 헤더를 스크립트 출력에 첨부하면 스크립트가 무엇을 생성하건 상관없이 유효한 정책 파일을 생성하지 못하게 할 수 있습니다. (또한 스크립트가 고유 메타 정책 HTTP 응답 헤더를 생성하는 경우, 가장 제한적인 메타 정책을 선택하여 메타 정책 충돌 문제를 해결하므로, 서버에서 이미 지정한 메타 정책 외에 보다 개방적인 메타 정책을 채택하지 못하게 할 수 있습니다.)
======================================================================================================
** 링크된 기술문서 참조
변경된 보안 사항이 적용된 crossdomain.xml 예
======================================================================================================
<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://www.adobe.com/xml/schemas/PolicyFile.xsd">
<allow-access-from domain="*.허용도메인” />
<site-control permitted-cross-domain-policies="all"/>
</cross-domain-policy>
======================================================================================================
'OM' 카테고리의 다른 글
| Fire Fox Flash Tracer 설정 (5) | 2008.07.18 |
|---|---|
| 외부에서 load된 swf 메소드 호출하기 (0) | 2008.06.25 |
| 마우스를 따라 다니는 원 (0) | 2008.06.03 |
| 에어 배포 (badge.swf) (0) | 2008.06.03 |
| 에어 디스크립터 파일 (0) | 2008.06.03 |
| 외부에서 load된 swf가 MouseEvent를 가릴때 (4) | 2008.05.18 |
| 캐릭터 이동 (2) | 2008.05.11 |
| Yahoo WebAPI를 이용한 날씨 위젯 2 (0) | 2008.05.11 |
| Yahoo WebAPI를 이용한 날씨 위젯 1 (1) | 2008.05.10 |