与 CORS 非常相似的是,X-Permitted-Cross-Domain-Policies 针对 Adobe 产品(即Flash和Acrobat)的跨域策略。Adobe 产品通过请求目标域根目录中的 cross-domain.xml 文件处理跨域请求,并且 X-Permitted-Cross-Domain-Policies 定义了访问该文件的策略。
设置严格的crossdomain.xml文件可以提高服务端的安全性,在web应用中也会经常使用flash,一般是通过<object>或者<embed>来进行调用。
X-Permitted-Cross-Domain-Policies可选值介绍:
(1)none
表示不允许使用loadPolicyFile方法加载任何策略文件,包括此主策略文件。
(2)master-only
表示只允许使用主策略文件(/crossdomain.xml)
(3)by-content-type
表示只允许使用loadPolicyFile方法加载HTTP/HTTPS协议下Content-Type为text/x-cross-domain-policy的文件作为跨域策略文件。
(4)by-ftp-filename
表示只允许使用loadPolicyFile方法加载FTP协议下文件名为crossdomain.xml的文件作为跨域策略文件。
(5)all
表示可使用loadPolicyFile方法加载目标域上的任何文件作为跨域策略文件,甚至是一个JPG也可被加载为策略文件!
您已成功复制微信号
leishi010
打开微信添加好友?
确定
