2. 程式人生 > >Silverlight 中的通訊安全訪問策略

Silverlight 中的通訊安全訪問策略

阿新 發佈:2019-01-28

Silverlight 支援使用 HTTP/HTTPS (System.Net.WebClient 等) 和 Socket (System.Net.Sockets) 兩種方式訪問遠端伺服器,但基於安全原因,對這些網路訪問制定了嚴格的安全策略。

1. HTTP/HTTPS 訪問策略

(1) 始終允許同域呼叫。同域是指呼叫必須使用同一子域、協議和埠,這是出於安全原因以及防止跨域偽造。



(2) Silverlight 支援訪問包含跨域策略檔案的網站服務。跨域訪問時,Silverlight Application 首先在目標 Web 服務的根路徑查詢 Silverlight 跨域策略檔案 (clientaccesspolicy.xml)。如果沒找到(404 Not Found)或發生其他錯誤,將繼續在根路徑處查詢 Flash 跨域策略檔案 (crossdomain.xml)。

clientaccesspolicy.xml 

<?xml version="1.0" encoding="utf-8"?>
<access-policy>
  <cross-domain-access>
    <policy>
      <allow-from>
        <domain uri="*"/>
      </allow-from>
      <grant-to>
        <resource path="/" include-subpaths="true"/>
      </grant-to>
    </policy>
  </cross-domain-access>
</access-policy>



(3) 所有通訊都是非同步的。

(4) 僅支援 GET 和 POST 謂詞。

(5) 支援大多數標準請求標頭和所有自定義請求標頭(必須是跨域策略檔案中允許的標頭)。

<?xml version="1.0" encoding="utf-8"?>
<access-policy>
  <cross-domain-access>
    <policy >
      <allow-from http-request-headers="SOAPAction, x-custom-header">
        <domain uri="*"/>
      </allow-from>
      <grant-to>
        <resource path="/services/" include-subpaths="true"/>
      </grant-to>
    </policy>
  </cross-domain-access>
</access-policy>


(6) 只有 "200 OK" 和 "404 Not Found" 狀態程式碼可用。

我們嘗試用 WebClient 訪問一個跨域網站。

private void Button_Click(object sender, RoutedEventArgs e)
{
  var client = new WebClient();

  client.DownloadStringCompleted += (s, ex) =>
  {
    this.TextBlock1.Text = ex.Error != null ? ex.Error.ToString() : ex.Result;
  };

  client.DownloadStringAsync(new Uri("http://localhost:8081/", UriKind.Absolute));
}


當目標網站沒有提供策略檔案時,你會看到如下的錯誤資訊。


在其根路徑放置好 clientaccesspolicy.xml 後,訪問正常。

2. Sockets 訪問策略

建立一個供 Silverlight Application 連線的 Socket Server (非同域網站),必須符合以下安全策略。

(1) 監聽 943 埠,為 Silverlight Application 提供策略檔案(clientaccesspolicy.xml)。

(2) Socket Server 的服務埠範圍必須在 4502 - 4534 之間。這是 Silverlight Application Socket 連線所允許使用的埠範圍,否則連線失敗。

我們寫一個簡單的 Time Server 作為演示。

Server CUI 

class Program
{
  static void Main(string[] args)
  {
    AccessPolicyServer();
    TimeServer();

    Console.WriteLine("Press any key to exit...");
    Console.ReadKey(true);
    Environment.Exit(0);
  }

  /// <summary>
  /// 建立時間伺服器執行緒
  /// </summary>
  private static void TimeServer()
  {
    new Thread(() =>
    {
      // 監聽 4502 埠
      var server = new TcpListener(IPAddress.Parse("127.0.0.1"), 4502);
      server.Start();

      while (true)
      {
        var client = server.AcceptTcpClient();
        var stream = client.GetStream();

        // 傳送當前時間
        var send = Encoding.UTF8.GetBytes(DateTime.Now.ToString());
        stream.Write(send, 0, send.Length);

        client.Close();
      }
    }).Start();
  }

  /// <summary>
  /// 建立策略檔案伺服器執行緒
  /// </summary>
  private static void AccessPolicyServer()
  {
    new Thread(() =>
    {
      // 監聽 943 埠
      var server = new TcpListener(IPAddress.Parse("127.0.0.1"), 943);
      server.Start();

      while (true)
      {
        var client = server.AcceptTcpClient();
        var stream = client.GetStream();
        
        // 讀取客戶端傳送資訊,如果請求字串不匹配則斷開。
        var buffer = new Byte[1024];
        var len = stream.Read(buffer, 0, buffer.Length);

        var rece = Encoding.UTF8.GetString(buffer, 0, len);
        if (String.Compare(rece, "<policy-file-request/>", true) != 0)
        {
          client.Close();
          break;
        }

        Console.WriteLine(rece);

        // 傳送策略檔案內容
        var send = Encoding.UTF8.GetBytes(@"
          <?xml version=""1.0"" encoding=""utf-8""?>
          <access-policy>
            <cross-domain-access>
              <policy>
                <allow-from>
                  <domain uri=""*""/>
                </allow-from>
                <grant-to>
                  <socket-resource port=""4502-4534"" protocol=""tcp"" />
                </grant-to>
              </policy>
            </cross-domain-access>
          </access-policy>");

        stream.Write(send, 0, send.Length);

        client.Close();
      }
    }).Start();
  }
}

Client Silverlight XAP 

private void Button_Click(object sender, RoutedEventArgs e)
{
  // 建立 Socket
  var client = new Socket(AddressFamily.InterNetwork, SocketType.Stream, ProtocolType.Tcp);

  // 建立等待控制代碼
  var wait = new ManualResetEvent(true);
  
  // 建立連線引數
  var args = new SocketAsyncEventArgs();
  args.RemoteEndPoint = new DnsEndPoint("127.0.0.1", 4502);

  // 訂閱處理事件
  args.Completed += (s, ex) => 
  {
    if (ex.LastOperation == SocketAsyncOperation.Connect)
    {
      // 連線完成,則設定緩衝區
      var buffer = new byte[1024];
      ex.SetBuffer(buffer, 0, buffer.Length);

      // 接收伺服器資料
      client.ReceiveAsync(ex);
    }
    else if (ex.LastOperation == SocketAsyncOperation.Receive)
    {
      // 如果接收資訊正確,則顯示伺服器傳送內容,否則顯示錯誤資訊。
      if (ex.SocketError == SocketError.Success)
      {
        this.Dispatcher.BeginInvoke(() =>
        {
          this.TextBlock1.Text = Encoding.UTF8.GetString(ex.Buffer, 0, ex.BytesTransferred);
        });
      }
      else
      {
        this.Dispatcher.BeginInvoke(() =>
        {
          this.TextBlock1.Text = ex.SocketError.ToString();
        });
      }

      wait.Set();
    }
  };

  // 連線伺服器
  client.ConnectAsync(args);

  // 等待處理結束
  wait.WaitOne();
}


如果不啟動伺服器策略檔案服務,或者埠不是 943,你會在客戶端獲得一個 AccessDenied 錯誤。

當然,如果伺服器監聽埠不再允許範圍(4502 - 4534)內,同樣也會觸發這樣一個錯誤。

相關推薦

Silverlight 通訊安全訪問策略

Silverlight 支援使用 HTTP/HTTPS (System.Net.WebClient 等) 和 Socket (System.Net.Sockets) 兩種方式訪問遠端伺服器,但基於安全原因,對這些網路訪問制定了嚴格的安全策略。1. HTTP/HTTPS 訪問

android黑科技系列——Android新型安全防護策略

應該 nat term 反編譯 packages 名稱 文章 訪問 多說 一、前言 最近有一個同學,發給我一個設備流量訪問檢測工具,但是奇怪的是,他從GP上下載下來之後安裝就沒有數據了,而在GP上直接安裝就可以。二次打包也會有問題。所以這裏就可以判斷這個app應該是有簽名

java 安全訪問策略

策略     Java安全體系結構的真正好處在於,它可以對程式碼授予不同層次的信任度來部分地訪問系統。     Microsoft提供了ActiveX控制元件認證技術,它和Java的認證技術相類似,但是ActiveX控制元件並不在沙箱中執行。這樣,使用了ActiveX,一

資料安全治理的資料訪問控制原則

經過二十多年資訊化和網際網路經濟的發展,資料成為繼現金和技術之後又一核心價值資產;資料黑產在過去十年裡蓬勃發展,讓每個人、每個企業和國家的資料面臨著巨大威脅;只有合理地處理好資料資產的使用與安全,企業與國家才能在新的資料時代穩健而高速發展。對於敏感資料的安全管理和使用,是資料安全治理的核心主題。 針對資

C# Winform專案多執行緒環境下, 如何跨執行緒對Window窗體控制元件進行安全訪問

請嘗試執行這段程式碼, 結果你會發現微軟開發工具會提示, Tb_Text.Text = int_Index.ToString(); 涉及"對Windows窗體控制元件進行執行緒安全呼叫", 並給瞭如下的解決方案:https://msdn.microsoft.com/zh-cn/library/ms171728

Struts2利用filter、session實現安全訪問和身份認證

1、開發環境: Eclipse軟體 JDK 1.7 Apach Tomcat 7 2、通過eclipse建立Dynamic Web Project後,匯入相應的Struts2 的jar檔案: 3、匯入jar包後,建立如下圖所示專案相應目錄:   許可權說明 (1) 根

Rust 訪問策略和module開發策略

一、建立新專案 $cargo new my_library 當前路徑下包含 Cargo.toml 和 src 目錄; src 目錄下包含一個 lib.rs 檔案。 二、不使用module的情況 1、修改lib程式碼 $vi src/

在JavaScript安全訪問嵌套對象

如果 當我 tro 是否 pan java other .com pro 大多數情況下,當我們使用JavaScript時,我們將處理嵌套對象,並且通常我們需要安全地訪問最裏面的嵌套值。 比如: const user = { id: 101, email: ‘

C#4個訪問修飾符(隨筆)

結構 public 成員訪問 集中 internal pub ted 限制 nal Public:公有的,是類型和類型成員的訪問修飾符。對其訪問沒有限制。 Internal:內部的,是類型和類型成員的訪問修飾符。同一個程序集中的所有類都可以訪問 Private:私

配置ssh遠程訪問策略

.net cin 不能 onf host conf 規則 inux 一個 假如有兩個域,一個是example.com(172.25.0.0/16),一個是my133t.org(172.24.0.0/16) 要求:從域group3.example.com能ssh遠程訪問兩個虛

java四種訪問修飾符

pub oid 默認 成員變量 修飾 對象 fault 其中 () Java中的四種訪問修飾符:public、protected、default(無修飾符,默認)、private。 四種修飾符可修飾的成分(類、方法、成員變量) public protect

Cognos11通過URL訪問report的設置

out images ins pro output bsp spa sts htm http://dispatcher_server:9300/bi/v1/disp?b_action=cognosViewer&run.outputFormat=HTML&r

java23設計模式之策略模式

log author 批量 isp contex view strategy ext 不同 package com.bjsxt.strategy; /** * 負責和具體的策略類交互 * 這樣的話,具體的算法和直接的客戶端調用分離了,使得算法可以獨立於客戶端獨立

基於CORS的GeoServer跨域訪問策略

由於 pro sse servlet 頭信息 targe 腳本 org web.xml GeoServer的跨域訪問問題,有多種解決方法,本文介紹一種基於CORS的GeoServer跨域訪問方法。 CORS簡介 CORS是一個W3C標準,全稱是"跨域資源共享"(Cros

c# 線程訪問控件的解決方法 可直接調用此方法

個人理解 調用 sys ext app tar 執行 csharp back 問題 由於在初學c#的時候 使用了 線程委托去執行函數,是為了不讓軟件窗體假死。所以使用下方代碼: Thread th = new Thread(Getform); //創建線程

ASA防火墻利用Object對象/Object-group對象組簡化訪問策略配置

思科asa以下的內容還是基於之前的ASA網絡拓撲:DMZ ZONE IP地址:192.168.10.100的主機作為NTP服務器提供時間同步服務,NTP服務器能夠和INTERNETNTP服務器同步時間配置訪問策略:object network ntp-server1 fqdn ntp.ubuntu.com o

MVC視圖訪問的約定

index view tin tro 顯示 其他 訪問 shtml 同名 通常訪問視圖的時候,都會去選擇訪問Views文件夾內對應於Controller同名的文件夾下的某一個視圖,這個視圖對應於這個Controller類的某一個方法。 其實,也可以讓這個方法對應於不同名的c

在域配置多元密碼策略

ado mark 分析 使用 比較 history tin 多個 立即生效 任務要求 WorldSkills2017.china域裏的所有用戶密碼都要求啟用密碼復雜性,除了sales組。sales組密碼長度要求最少3位。 任務分析 世賽的難度還是比較大的,每一道題目雖然只有

在AD,使用組策略同一桌面域

ad域 路徑 域的組策略 alt ext vpd ffffff pro proc 實驗環境,在公司中,要求市場部電腦都用統一的桌面,這時可以用AD域的組策略實驗步驟:一:找到作為背景桌面的圖片,放到文件夾,並且共享,設置共享權限,二:打開組策略管理 四:打開組策略管理後,右

企業分布式微服務雲SpringCloud SpringBoot mybatis (七)Spring Boot使用JdbcTemplate訪問數據庫

ger sele 應該 創建 測試環境 oid reg tis eat 本文介紹在Spring Boot基礎下配置數據源和通過JdbcTemplate編寫數據訪問的示例。 數據源配置 在我們訪問數據庫的時候,需要先配置一個數據源,下面分別介紹一下幾種不同的數據庫配置方式。