Проблемы безопасности с вебсервисом

PainKiller · 21.05.2014, 03:13

Есть restful с json вебсервис написанный на java, у которого в корне лежит кроссдоменник такого содержания:

Код:

<cross-domain-policy>
<allow-access-from domain="*" to-ports="*"/>
<site-control permitted-cross-domain-policies="all"/>
<allow-http-request-headers-from domain="*" headers="*" secure="false"/> 
</cross-domain-policy>

В логах сервера видно, что кроссдоменник скачивается без проблем.
get запросы проходят без проблем, когда же я post запросом пытаюсь отправить json валится ошибка, уже описанная здесь Рецепт оттуда не помог.
Джисон отправляю в теле запроса (это важно!) потому что именно так устроен сервис. Джисон отправляю с помощью класса HTTPService, в заголовке прописываю application/json, в send отдаю строковый джисон (вижу в прокси, что таким образом он попадает в тело запроса, и с запросом все ок). И еще такая деталь - флешка, которая запрашивает джава-сервер загружена вконтакт. Не думаю что это кеш, т.к. в браузере открываю кроссдоменник и все ок. Что делать не знаю, все идеи в 2 часа ночи кончились.

Добавлено через 15 часов 17 минут
Кстати еще вопрос возник - имеет ли смысл переделывать приложение на IFrame? По идее тогда оно будет на том же домене что и сервис, и проблема безопасности возникать не будет?

Добавлено через 15 часов 24 минуты
И вот еще привожу полное содержимое ошибки на всякий случай:

Цитата:

3FFA2A87-D745-5CB1-F719-1EFF24BAB7D8 (mx.messaging.messages::ErrorMessage)#0
body = (null)
clientId = "DirectHTTPChannel0"
correlationId = "D2FA2B71-A917-C6E1-42A1-1EFF24AF5BFF"
destination = ""
extendedData = (null)
faultCode = "Channel.Security.Error"
faultDetail = "Destination: DefaultHTTP"
faultString = "Security error accessing url"
headers = (Object)#1
DSStatusCode = 0
messageId = "3FFA2A87-D745-5CB1-F719-1EFF24BAB7D8"
rootCause = (flash.events::SecurityErrorEvent)#2
bubbles = false
cancelable = false
currentTarget = (flash.net::URLLoader)#3
bytesLoaded = 0
bytesTotal = 0
data = (null)
dataFormat = "text"
errorID = 2170
eventPhase = 2
target = (flash.net::URLLoader)#3
text = "Error #2170: Security sandbox violation: http://cs620428.vk.me/u12680198/42595af16200f4.zip cannot send HTTP headers to http://localhost:37813/formulaoflove/user/register/?hostport=env-5856194.jelasticloud.com&https=N&id=D2FA2B71-A917-C6E1-42A1-1EFF24AF5BFF."
type = "securityError"

Добавлено через 15 часов 25 минут
То есть оно (приложение) не может посылать заголовки, хотя это разрешение прописано в кроссдоменнике

Добавлено через 21 час 45 минут
В общем проблему решил, сразу 2 путями - и не понял какой из них сработал. Договорился с серверщиком об изменении айпи - теперь заголовки добавлять не надо, все отравляется в URLVariables, и добавил в кроссдоменник атрибут secure:

Код AS3:

<cross-domain-policy>
<allow-access-from domain="*" to-ports="*" secure="false"/>
<site-control permitted-cross-domain-policies="all"/>
<allow-http-request-headers-from domain="*" headers="*" secure="false"/>
</cross-domain-policy>

Что именно из этого помогло не знаю, но теперь все работает.

Добавлено через 42 часа 11 минут
Еще кстати такой момент выявился по поводу доступа к crossdomain.xml, будьте осторожны если кодите в FB, и у вас включен Network Monitor, я уже поднимал по этому поводу темы на форуме, он вкомпиливает свои пути в флешку. В итоге у вас на компе все будет грузиться, у других людей нет. И будете долго разбираться почему у вас секьюрной ошибки не валится, а у других людей валится.