Flash player 10(FLEX 4)的安全沙箱机制

注意，是Flash Player 10的安全沙箱，也就是说不仅仅是Flex编译出来的那个swf，所有的swf都遵循Adobe的白皮书。

Flash player 安全模型阻止以下三类违规行为:
• 未授权的情况下，访问数据:
本地磁盘，联机的磁盘，web服务器，内存中的数据。
• 未授权的情况下，访问终端用户信息:
可能包括个人信息和金融类数据，也包括终端用户对flash player的安全设置信息。
• 未授权的情况下，访问宿主机器的资源:
控制应用程序，设备，系统资源。

在 计算机系统中，正确操作、保护资源可以保证很多类型用户的利益。这在flash的安全模型中尤为重要，有的环境会从多种途径获得执行代码，比如说 flash player是adobe制作的，运行在其中的swf又是另外一个来源。而且这些环境也会从其他网站读取数据，在本机上运行程序。

在flash的运行环境中，adobe假设安全隐私和以下角色相关：

管理员：

管理员设置的flashplayer安全信息保存在mms.cfg 中。例如，访问计算机的摄像头或者音频输入设备。访问本地文件，文件上传，下载的权限。
Global Trust files当安装flash应用程序时，安装程序（以管理员角色运行）可以指定本地文件或者路径为可信的。

用户：

设置管理器，设置UI对话框。摄像头和音频设备的访问。当遗留flash应用程序试图在新的flash player中访问受保护的资源时，flash player会给用户发出警告。
User Trust files 当安装flash应用程序时，安装程序可以指定本地文件或者路径为可信的。

网站管理员：

URL策略文件，决定了flash应用程序是否可以访问domain上的资源。
Socket策略文件，授权给ActionScript socket层的链接。
URL元策略和socket元策略，元策略是一个“策略上的策略”，由管理员设置，它决定了什么策略文件是允许在server上存在的。

作者：

跨脚本API和跨domain数据访问，flash player提供安全访问的API 。

Flash Player 安全体系架构

基本的sandbox安全模型

沙箱是flash player用来容纳程序资源的逻辑安全组。沙箱中的资源都由沙箱的所有者控制的。沙箱是独立于操作系统、文件系统、网络和其他应用程序的。

当flash player载入swf文件时，程序被自动分配到特定的沙箱之中。在同一沙箱中运行的程序可以自由的交互。如果对安全规则进行了相应的设置，不同砂箱中的程序也可以交互。

swf文件的作者可以使用只读的静态Security.sandboxType属性来确定 Flash Player 向其分配该swf文件的沙箱类型。Security 类包括表示Security.sandboxType属性可能值的常量：

Security.REMOTE：swf文件来自 Internet URL，并遵守沙箱规则。

Security.LOCAL_WITH_FILE：swf文件是本地文件，但尚未受到用户信任，且没有使用网络名称进行发布。此swf文件可以从本地数据源读取数据，但无法与 Internet 进行通信。

Security.LOCAL_WITH_NETWORK：swf文件是本地文件，且尚未受到用户信任，但已使用网络名称进行发布。此swf文件可与internet通信，但不能从本地数据源读取数据。

Security.LOCAL_TRUSTED：swf文件是本地文件，且已使用“设置管理器”或flash player信任配置文件受到用户信任。此swf文件既可以从本地数据源读取数据，也可以与internet进行通信。

在默认的安全沙箱中，a.com中的swf可以访问同domain下的所有资源，例如a1.swf可以读取a2.swf，也可以读取a3、a4文件。

但是不同域下的资源不可以互相访问，例如a.com上面的swf只可以发送信息到b.com，但是不能读取b.com下的任何资源。

只有b.com设置了策略文件，允许a.com访问它，才能保证来自a.com的swf文件可以访问b.com的资源（比如，使用ActionScript URLLoader.load()）。

只有b.com的swf使用Security.allowDomain()方法，允许a.com访问（例如调用b.com中swf的ActionScript代码），这样，来自a.com的swf才可以访问b.com下的swf。

特定范围的沙箱机制

网络文件：所有的资源都在网络沙箱模型中，该模型符合基本安全沙箱模型。并且每个domain的资源都会被分配到相应的沙箱之中。


本地文件：本地文件沙箱也符合基本安全沙箱模型，但是他们有不同的缺省设置。文件地址符合“file://”或者UNC路径（统一命名规约），并且不包含IP地址或者域名的文件，被认为是本地文件。

三种本地文件沙箱模型：

• local-with-filesystem
• local-with-networking
• local-trusted

默认情况下，本地的swf都会被放在local-with-filesystem沙箱中运行，该沙箱中的程序可以访问本地资源，但是不能访问网络资源，除非系统认为网络资源是本地文件。

本 地swf在编译的时候，加入编译参数use-network=true，运行时该文件就会被放入local-with-networking沙箱。默认情 况下，此沙箱中的swf也是不可以访问其他swf文件的脚本来执行的，只有通过Security.allowDomain()才可以访问在local- with-networking沙箱或者local-trusted沙箱中的swf文件。但是local-with-file-system是不可以的， 这是为了防止本地swf文件和网络swf配合盗取本机数据。