设置X-Permitted-Cross-Domain-Policies后Flash跨域还是被拦截怎么办?
我在配置安全头时加了X-Permitted-Cross-Domain-Policies: master-only,但Flash上传功能请求crossdomain.xml时还是报跨域错误,这是为什么?
具体场景是公司旧系统用Flash做文件上传,按照文档应该通过这个头控制策略文件加载。我用代码这样测试:
fetch('https://api.example.com/crossdomain.xml')
.then(response => {
console.log('获取策略成功', response);
})
.catch(err => {
console.error('又被拦截了!', err); // 输出:NetworkError: Failed to fetch
});
已经确认服务器确实存在这个文件,也试过设置成”null”和具体域名都不行。难道这个头需要配合其他配置?或者和CORS的Access-Control-Allow-Origin冲突了?
2 条解答
你现在用 fetch 去请求 crossdomain.xml 被拦,根本不是 Flash 的事,是浏览器的 CORS 策略在拦截。fetch 是浏览器的 API 调用,它根本不认 X-Permitted-Cross-Domain-Policies,只看 Access-Control-Allow-Origin。
Flash 上传走的是自己的网络栈,只要页面能拿到 crossdomain.xml 文件(比如直接访问 https://api.example.com/crossdomain.xml 没有 404),并且服务器返回了正确的 X-Permitted-Cross-Domain-Policies 头,Flash 就会尝试读取策略文件来判断是否允许跨域。但前提是这个文件必须能被公开访问。
你现在的问题应该是:浏览器用 JS 发起 fetch 请求去拿 crossdomain.xml 时触发了 CORS 验证,而你后端没开 CORS,所以失败。
解决方案有两个方向:
第一,如果你只是想让 Flash 正常工作,那就别用 fetch 测试。直接在浏览器地址栏访问 https://api.example.com/crossdomain.xml,确保返回的是 XML 内容,并且响应头包含 X-Permitted-Cross-Domain-Policies: master-only。Flash 只关心这个,不走 fetch 那套。
第二,如果你想用 JS 动态加载这个文件做调试或兼容处理,那就要在服务端对 /crossdomain.xml 这个路径额外加上 CORS 头,比如:
但注意生产环境别随便开 *。
总结一下:X-Permitted-Cross-Domain-Policies 是给 Flash 看的,CORS 是给浏览器 JS 看的,两者不冲突,但也不能互相替代。你现在的问题是混淆了这两套机制。
X-Permitted-Cross-Domain-Policies这个头只是告诉Flash是否允许加载crossdomain.xml,但它不解决跨域本身。你得确保crossdomain.xml文件正确放在服务器根目录,并且能直接访问,比如https://api.example.com/crossdomain.xml要能返回200状态码。另外,如果你用了CORS,确实可能会冲突,建议先去掉所有CORS相关的头试试看。最后,Flash那套东西太古老了,真有条件还是换掉吧,省心。