本文和大家重點(diǎn)討論一下FlexSocket安全沙箱沖突及解決方案，F(xiàn)lexSocket連接SocketServer時(shí)，javaSocket、c++Socket，抑或其它，首先會(huì)開(kāi)一個(gè)Socket連接主機(jī)的843端口請(qǐng)求安全策略文件，這個(gè)時(shí)間為3秒;如果此步未能成功，則看開(kāi)發(fā)者是否顯式調(diào)用了Security.loadPolicyFileAPI。

FlexSocket安全沙箱沖突及解決方案

這是FP被廣為唾罵的特性之一，其設(shè)計(jì)糟糕至極。Adobe貌似認(rèn)為9秒時(shí)間對(duì)用戶來(lái)說(shuō)很短。

1，糟糕的設(shè)計(jì)可能使用戶浪費(fèi)9秒時(shí)間

FlexSocket連接SocketServer時(shí)，javaSocket、c++Socket，抑或其它，首先會(huì)開(kāi)一個(gè)Socket連接主機(jī)的843端口請(qǐng)求安全策略文件，這個(gè)時(shí)間為3秒;如果此步未能成功，則看開(kāi)發(fā)者是否顯式調(diào)用了Security.loadPolicyFileAPI,如下

Security.loadPolicyFile("xmlsocket://127.0.0.1:1843"); 

如有，則再次嘗試從這個(gè)端口加載策略數(shù)據(jù)，又是3秒。如果此步又未能OK，則嘗試從開(kāi)發(fā)者定義的FlexSocket主機(jī)端口再次加載安全策略，此時(shí)會(huì)發(fā)送這樣一個(gè)請(qǐng)求：

<policy-file-request/> 

如果SocketServer沒(méi)有處理這個(gè)請(qǐng)求，客戶端將無(wú)法進(jìn)一步完成FlexSocket連接。這個(gè)過(guò)程又是3秒。如果軟件設(shè)計(jì)不當(dāng)，客戶端將浪費(fèi)9秒的時(shí)間才能知道它有沒(méi)有獲得Server的連接許可，這張門(mén)票有點(diǎn)貴了。FP如能成功加載到安全策略數(shù)據(jù)，會(huì)把所用socket拋棄(即使從主機(jī)端口請(qǐng)求亦是如此)，然后執(zhí)行開(kāi)發(fā)者的socket連接邏輯。

2，合理的方案，用java實(shí)現(xiàn)

在SocketServer端單開(kāi)一個(gè)843端口，用于專(zhuān)門(mén)向客戶端提供安全策略文件，java示例代碼如下：

packagesban.socketServer;  
 
importjava.io.BufferedInputStream;  
importjava.io.BufferedReader;  
importjava.io.File;  
importjava.io.FileInputStream;  
importjava.io.IOException;  
importjava.io.InputStreamReader;  
importjava.io.PrintWriter;  
importjava.net.InetSocketAddress;  
importjava.net.ServerSocket;  
importjava.net.Socket;  
importjava.net.SocketAddress;  
importjava.net.URL;  
 
/**  
*sbanpolicyserverforflex/flashsocket  
*  
*@authorsban<http://sban.biz/> 
*  
*/  
publicclassSbanSocketPolicyServer{  
 publicSbanSocketPolicyServer(){  
 
 }  
 
 publicstaticStringreadFileAsString(Stringurl)  
   throwsjava.io.IOException{  
  byte[]buffer=newbyte[(int)newFile(url).length()];  
  BufferedInputStreamf=newBufferedInputStream(  
    newFileInputStream(url));  
  f.read(buffer);  
  f.close();  
  returnnewString(buffer);  
 }  
 
 publicstaticvoidmain(String[]args)throwsIOException{  
  ServerSocketserver=newServerSocket();  
  SocketAddressendpoint=newInetSocketAddress("127.0.0.1",843);  
  server.bind(endpoint);  
  Stringpath=SbanSocketPolicyServer.class.getResource("../../crossdomain.xml").getPath();  
  System.out.println(path);  
  Stringpolicy=readFileAsString(path);  
 
  while(true){  
   System.out.println("waitforclient...");  
   Socketsocket=server.accept();  
 
   BufferedReaderin=newBufferedReader(newInputStreamReader(  
     socket.getInputStream()));  
   PrintWriterout=newPrintWriter(socket.getOutputStream());  
   Strings=in.readLine();  
   System.out.println(s);  
 
   if(s.indexOf("policy-file-request")>-1){  
    out.print(policy+'\0');  
    out.flush();  
    in.close();  
    out.close();  
    System.out.println("sendedpolicycontext.");  
    socket.close();  
   }  
  }  
 
 }  
}  
 

而crossdomain.xml文件的示例代碼為：

<cross-domain-policy> 
<site-controlpermitted-cross-domain-policiessite-controlpermitted-cross-domain-policies="all"/> 
<allow-access-fromdomainallow-access-fromdomain="*"to-ports="*"/> 
</cross-domain-policy> 

將crossdomain.xml文件與執(zhí)行文件放置一起

3，你可以借用的jar執(zhí)行文件

sban把上述java導(dǎo)出為jar可執(zhí)行文件：

SbanSocketPolicyServer.zip5.8KB

在Windows下，確定已安裝java環(huán)境，并已設(shè)定環(huán)境變量，在命令行窗口中執(zhí)行如下命令：

java-jarSbanSocketPolicyServer.jar

說(shuō)明：該java程序未經(jīng)優(yōu)化，僅作為教程示例，不建議在商業(yè)項(xiàng)目中使用。
 

【編輯推薦】

1. 解析Flex安全沙箱五大解決方法
2. Flex安全沙箱問(wèn)題解決方法
3. 技術(shù)前沿 看Flex客戶端緩存技術(shù)如何使用
4. 解析Flex全屏模式設(shè)置方法
5. Flex內(nèi)存泄露解決方法和內(nèi)存釋放優(yōu)化原則