Можно загрузить непубличный файл с того же веб-сервера?

Question

Я работаю над веб-флэш-приложением для клиента, который загружает внешний файл из того же каталога, который находится на сервере. Я использую URLRequest для загрузки файла:

loader.load(new URLRequest("Config.xml)); 

Щас файл Config.xml использует CHMOD 644, что дает ей публичный доступ для чтения. Однако клиент хотел бы защитить файл конфигурации, чтобы он не мог быть загружен третьими лицами.

Я думаю, что не удастся скрыть файл, удалив общедоступное разрешение на чтение (chmod 640), потому что тогда документ Flash, который выполняется на стороне клиента, не сможет его прочитать. Мои тесты, похоже, подтверждают это. Есть ли способ для приложения Flash в Интернете читать файл с сервера, не подвергая его публике?

Answer 1

Как уже говорилось, вы не можете этого сделать. Чтобы SWF мог загружать файл со стороны клиента, он должен быть общедоступным.

Возможным решением, которое может быть достаточно для вашего клиента, является встраивание содержимого XML-файла в ваш HTML на стороне сервера, например, как FlashVars или вывод JavaScript, тогда SWF не нужно загружать XML-файл напрямую и вам не нужно публиковать файл.

Например:

стороне сервера PHP:

<?php 
$xml = file_get_contents("Config.XML"); 
$encodedXml = rawurlencode($xml); 
?> 

<object type="application/x-shockwave-flash" data="my-flash.swf" width="550" height="400"> 
    <param name="movie" value="my-flash.swf" /> 
    <param name="FlashVars" value="config=<? echo $encodedXml ?>"/> 
</object> 

стороне клиента AS3:

var xml:XML = XML(stage.loaderInfo.parameters.config); 

Конечно кто-то может смотреть на ваш источник HTML и расшифровывает сам XML, но каким-либо образом вы получите XML-контент в SWF, вы увидите эту возможность , к разным уровням сложности. Вы могли бы сделать кодировку более запутанной (кодировка URL-адресов легко обнаружить) или зашифрована, чтобы затруднить ее поиск.

Answer 2

Короткий ответ:

Нет, вы не можете сделать это.

Длинный ответ:

Нет, вы не можете сделать это, потому что, как вы уже знаете, Flash Player является технологией на стороне клиента, так что это точно так же, как и в браузере, и любой файл, загруженный вашим SWF, доступен и доступен для абсолютно любого лица, имеющего доступ к этому SWF-файлу, также забывает о разрешениях доступа к файлам, которые в этом не влияли.

Обратите внимание, что вы можете использовать некоторую систему шифрования для шифрования содержимого этого файла, и ваш SWF расшифрует его, но проблема здесь в том, что вы также должны зашифровать ваш SWF-файл, который, насколько мне известно, не является очень надежный метод, потому что SWF декомпиляции действительно очень эффективны в наши дни ...

...

Надежда, которая может помочь.

Answer 3

No. Flash использует обычный HTTP-запрос для загрузки файла конфигурации, поэтому, конечно, он не может получить файл, если он недоступен для общественности.

Что вам нужно может do требует аутентификации для файла конфигурации и включает учетные данные в ваше объявление URLRequest. Тем не менее, это все еще страдает от слабости того, кто обнюхивает трафик, чтобы обнаружить аутентификацию, а затем снова запустить этот запрос с помощью другого инструмента.

В конечном счете, вы не можете иметь его в обоих направлениях: либо ваш конфиг доступен, либо небезопасен, либо он безопасен, но непригоден.

Answer 4

Приложение на стороне клиента (Flash или другое) не может читать или загружать файлы с сервера даже с сервера, из которого он поступает. Когда он загружает общедоступный XML-файл, он делает запрос на него, и если файл имеет правильное разрешение и сервер знает, как обслуживать этот файл, запрос предоставляется и файл обслуживается. Это очень похоже на работу на стороне сервера, поэтому вы можете знать, что, когда вы говорите: «Flash работает на стороне клиента, так как я могу воспользоваться любым преимуществом серверного решения?» это явное непонимание того, как все работает на стороне клиента и на стороне сервера, потому что если вы загружаете xml-файл, тогда вы используете решение на стороне сервера. Теперь, когда это сказано, как это сделать, когда разрешено разрешение файла.

Обычно не разрешается доступ к файлам или каталогам на сервере, и в этом случае стороне клиента не может быть предоставлен прямой доступ к ним. Таким образом, это - то, когда вам нужно использовать технологию стороны стороны, чтобы обслуживать эти файлы. Поддерживайте боковые технологии, например, PHP может получить доступ ко всем файлам на сервере и сделать их копию или временно изменить их разрешение и т. Д.

Вы можете обслуживать на своих клиентах эти запрещенные файлы, просто написав сценарий стороны службы, который будет служить файлу для вас в зависимости от определенных вами критериев (или ни одного). Сторона сервера может изменить разрешение, позволяющее загрузить его, а затем изменить его или скопировать файл и поместить его в общедоступное место, а затем удалить. Вы также можете изменить расширение своего xml (например, на что угодно, например) и не предоставлять для него тип mimetype, даже если файл является общедоступным, сервер не сможет его обслуживать, вы можете заставить вас обслуживать изменение скрипта в стороне его расширение для вас на основе потребностей. Есть только сотни способов сделать это, включая веб-службы и даже AMF, и все это, пока необходимый файл не является общедоступным. Но да, вы должны написать сценарии на стороне сервера, которые являются ОЧЕНЬ ОБЩИМ способом для обслуживания файлов на стороне клиента.