Обход политики того же происхождения, как и почему это работает?

Как работает политика единого происхождения? Я неправильно понимаю?
Допустим, у нас есть хост "videos.test.com"
А "videos.test.com/crossdomain.xml" говорит:

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<allow-access-from domain="*.test.com" />
<allow-access-from domain="test.com" />
</cross-domain-policy>

Может ли другой хост blabla.com встроить в себя видео с videos.test.com? Без iframe?

Насколько я знаю, это не должно быть возможно из-за политики.

Но этот сайт каким-то образом обходит это:
http://www.vodu.ch/file/dc/7320160c81b3ed93065dbc7e1885f242/?w=960&h=575

Так в чем же хитрость, почему это работает?


html same-origin-policy flash
person Forivin    schedule 19.05.2014    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Да; crossdomain.xml позволяет веб-сайту сообщить Flash об обходе SOP для определенных доменов.

См. также CORS.

person SLaks    schedule 19.05.2014
comment
Это означает, что blabla.com не может встроить поток с videos.test.com на свой сайт, верно? - person Forivin; 19.05.2014
comment
Если только не разрешат. - person SLaks; 19.05.2014
comment
Итак, почему этот сайт может: vodu.ch/file/dc /7320160c81b3ed93065dbc7e1885f242/ заставить мой браузер передавать файл с media-b160.firedrive.com ? Файл crossdomain.xml, похоже, не разрешает запросы из домена. media-b160.firedrive.com/crossdomain.xml - person Forivin; 19.05.2014
comment
Он использует Java, а не Flash. - person Quentin; 19.05.2014
comment
Неправильно, он использует оба. Но на самом деле это не имеет значения. Некоторое время назад этот сайт работал только с flash. Я думаю, что это как-то связано с gkplugin, но как и почему это работает? - person Forivin; 20.05.2014
comment
Они просто изменили его обратно, теперь он снова использует только вспышку. Они также теперь берут файл с vk.com вместо firedrive.com. - person Forivin; 28.05.2014