AIR的更新补丁已经公开了(air_b2_badge_100907.zip : 50.5KB)。它是为了解决之前版本的XSS(cross Site Script)攻击漏洞。最好马上更新。 HTML的安全沙箱也发生了变化。为了对付Javascript的eval()、JSON、innerHTML等的攻击,从Beta 2开始,提供了2种安全沙箱。
第一种安全沙箱叫程序沙箱(Application Sandbox)。它能自由地使用AIR的API,但无法使用外部的Script与eval()。
第二种叫经典沙箱(Classic Sandbox)。它提供与HTML浏览器相同的功能,但无法调用AIR的API。
AIR Beta 2的默认沙箱为程序沙箱。所以几乎所有的AJAX框架都无法正常工作。在这种情况,应该先在经典沙箱里写HTML程序。再在使用AIR的API的地方转换为程序沙箱。最后再添加从经典沙箱调用程序沙箱的处理。使用SandboxBridge,可以使两种沙箱共存。经典沙箱的指定方法、SandboxBridge的API的具体使用方法等可以参照一个简单的例子(air_htmlsecurity_sample_100107.zip : 64.7KB)。并且在AIR Developer Center(en)里有关联的文章(Building an expense tracker on the new Adobe AIR HTML security model)。
![[Google]](http://www.google.com/logos/Logo_25wht.gif){kind=logo}
![[Synchronous Space]](http://weihe924stephen.googlepages.com/syncspace-banner.jpg)
![[Creative Commons License]](http://i.creativecommons.org/l/by-nc-sa/3.0/88x31.png)
![[Add to Google]](http://buttons.googlesyndication.com/fusion/add.gif)
![[Aggregated by MXNA]](http://weblogs.macromedia.com/mxna/images/mxna88x31.gif)
![[Flex.org]](http://www.flex.org/images/flexorg.gif)
![[Valid Atom 1.0]](http://validator.w3.org/feed/images/valid-atom.png "Validate my Atom 1.0 feed")
![[Valid RSS]](http://resource.googlecode.com/files/valid-rss.png "Validate my RSS feed")
![[Valid CSS]](http://jigsaw.w3.org/css-validator/images/vcss){kind=small}
![[Powered By Blogger]](http://www.blogger.com/buttons/blogger-powerby-blue.gif)
![[I heart FeedBurner]](http://www.feedburner.com/fb/images/pub/i_heart_fb.gif)
![[收录查询]](http://images.webmasterhome.cn/images/indexed_cn.gif){kind=small}
没有评论:
发表评论