View Full Version : security error accessing url altough permissive crossdomain.xml exists

04-27-2009, 10:12 AM

this is driving me nuts... i've got a flex3 app that communicates with a soap webservice. The WS-client is generated by flex builder and all works fine in the local-trusted sandbox. But when the flex is deployed to a webserver a security error occurs when it's accessing the service. crossdomain.xml exists in the domain root and is loaded (see log below, it warns about https because i deactivated it to verify it's not a cert issue). But it still complains about a missing policy file directive.

What else needs to be done to access a webservice that runs on another domain?

crossdomain.xml (@ http://foo.bar.de/crossdomain.xml)
<?xml version="1.0"?>
<allow-access-from domain="*" secure="false" to-ports="*"/>

flex builder debug log:

Warnung: Das 'secure'-Attribut in der Richtliniendatei von http://foo.bar.de/crossdomain.xml wird ignoriert. Das 'secure'-Attribut ist nur in HTTPS- und Socket-Richtliniendateien zulässig. Nähere Informationen finden Sie unter http://www.adobe.com/go/strict_policy_files_de

Warnung: Domäne foo.bar.de gibt keine Metarichtlinie an. Es wird die Standardrichtlinie "master-only" angewendet. Diese Konfiguration ist veraltet. Informationen zur Behebung dieses Problems finden Sie unter http://www.adobe.com/go/strict_policy_files_de.

Fehler: Anforderung der Ressource unter http://foo.bar.de/baz/ durch Kunden von http://www.otherdomain.de/path/to/flex.swf wird abgelehnt wegen nicht vorhandener Richtliniendateiberechtigungen.
*** Security Sandbox-Verletzung ***
Verbindung mit http://foo.bar.de/baz/ unterbrochen - nicht zulässig von http://www.otherdomain.de/path/to/flex.swf
'0931DFE2-97DA-B0A8-3FF0-E70338343847' producer acknowledge of 'C39DB60E-9476-0F58-9023-E7033844747F'.
'0931DFE2-97DA-B0A8-3FF0-E70338343847' producer fault for 'C39DB60E-9476-0F58-9023-E7033844747F'.

thanks in advance,

ps. if you know how to change the locale of the debug console to english, i'd aprechiate a hint too.

04-28-2009, 09:15 AM
to answer my own question, i was missing
<allow-http-request-headers-from domain="*" headers="*"/>

in the policy file.

Enabling the policy file log as described here (http://www.adobe.com/devnet/flashplayer/articles/fplayer9_security_05.html) finally helped me to find this.